如何設定ACL以限制IP流量的速率
Zyxel Employee
在某些網路中,必須在VLAN之間配置速率限制。例如,VLAN 10適用於組織內的員工。VLAN 20適用於Guest。通過對VLAN 20進行速率限制,我們可以確保VLAN 10中的用戶獲得更好的頻寬或網路效能。此範例說明了管理員如何設定ACL對VLAN流量進行速率限制。通過觀察並比較VLAN 10和VLAN 20之間的上傳和下載速率來驗證結果。
注意:
本文使用所有網路IP位址和子網遮罩作為範例。請用您的實際網路IP位址和子網遮罩替換它們。
1. 設定VLAN和路由流量
1-1. 在Switch-1和Switch-2上設定VLAN(VLAN 10和VLAN 20)(您可以參考此處)
1-2. 在Switch-1和Switch-2上設定路由流量(您可以參考此處)
2. 設定Classifier
2-1. 在Switch-2上設定Classifier:選到Menu > Advanced Application > Classifier > Classifier Configuration。設定4個Classifier:用於在VALN 10和VLAN 20中下載和上傳的Classifier。因此,總共有4個Classifier。
注意:
ACL使符合Classifier條件的流量遵循其相應的Policy Rule。
2-2. VLAN 10中下載流量的Classifier:勾選“Active”框,然後輸入名稱。將Layer 3 > Destination設定為192.168.10.0/24(表示Destination在VLAN 10中),將Source設定為192.168.1.100/32(表示Source是FTPServer)。按“Add”。
2-3. VLAN 10中上傳流量的Classifier:勾選“Active”框,然後輸入名稱。將Layer 3 > Destination設定為192.168.1.100/32(意味著Destination是FTPServer),將Source設定為192.168.10.0/24(意味著Source來自VLAN 10)。按“Add”。
2-4. 在VLAN 20中下載的Classifier:勾選“Active”,然後輸入名稱。將Layer 3 > Destination設定為192.168.20.0/24(意味著Destination在VLAN 20中),將Source設定為192.168.1.100/32(意味著Source是FTPServer)。按“Add”。
2-5. 在VLAN 20中上傳的Classifier:勾選“Active”,然後輸入名稱。將Layer 3 > Destination設置為192.168.1.100/32(意味著Destination是FTPServer),將Source設置為192.168.20.0/24(意味著Source來自VLAN 20)。按“Add”。
3. 設定ACL(Policy Rule)
3-1. 在Switch-2上設定Policy Rule:在第2部分中,我們創建了4個Classifier。我們可以發現它們顯示在Policy Rule窗口中供我們匹配。選到Menu > Advanced Application > Policy Rule。
3-2. VLAN 10中下載流量的Policy Rule:勾選“Active”框,然後輸入名稱。選擇VLAN 10(DL10)中的下載Classifier。設定要與該Classifier匹配的操作:Bandwidth Metering = 40960 kbps。啟用Metering,並將Out-of-profile action(表示速率超過頻寬時的操作)設定為“Drop the packet”(意味著Switch-2將丟棄超出頻寬的流量)。按“Add”。
3-3. 在VLAN 10中上傳的Policy Rule:勾選“Active”,然後輸入名稱。選擇VLAN 10(UP10)中的上傳Classifier。設定要與該Classifier匹配的操作:Bandwidth Metering = 20480 kbps。啟用Metering,並將Out-of-profile action設定為“Drop the packet”。按“Add”。
3-4. 在VLAN 20中下載的Policy Rule:勾選“Active”,然後輸入名稱。選擇VLAN 20(DP20)中的下載Classifier。設定要與該Classifier匹配的操作:Bandwidth Metering = 20480 kbps。啟用Metering,並將Out-of-profile action設定為“Drop the packet”。按“Add”。
3-5. VLAN 20中上傳的Policy Rule:勾選“Active”,然後輸入名稱。選擇VLAN 20(UP20)中的上傳Classifier。設定要與該Classifier匹配的操作:Bandwidth Metering = 10240 kbps。啟用Metering,並將Out-of-profile action設定為“Drop the packet”。按“Add”。
4. 測試結果
4-1. 選到Menu > Advanced Application > Classifier。選中“Count”。如果流量與classifier匹配,則每次刷新網頁時,此classifier的Match Count應增加。
4-2. 使用PC-1從FTP server下載文件。傳輸速率應大約為5 MB / s(或40960 Mb / s)。
4-3. 使用PC-1將文件上傳到FTP server。傳輸速率應大約為2.6 MB / s(或20480 Mb / s)。
4-4. 使用PC-2從FTP server下載文件。傳輸速率應大約為2.6 MB / s(或20480 Mb / s)。
4-5. 使用PC-2將文件上傳到FTP server。傳輸速率應大約為1.2 MB / s(或10240 Mb / s)。
5. 可能出錯的地方
5-1. 設定Classifier時,請記住同時考慮流量的source和destination。在此範例中,如果我們僅在文件上傳server期間將source設定為VLAN 10(192.168.10.0/24),但未設定destination(server IP:192.168.1.150),它將導致當PC嘗試從VLAN 10向其他人發送流量時,所有流量進行速率限制。
