任务引言
基于IP地址的QoS服务针对的是IP地址的网络限制,但在现实的网络应用中这还不够,有些限制是针对应用的,如Web服务、P2P下载、即时通信等。基于服务进行网络限制使网络服务更合理化、人性化。
学习目标
了解应用QoS的限制原理;
掌握应用QoS的配置。
知识引入
应用QoS是指针对应用进行分类,按分类的结果进行网络带宽或优先级的服务质量控制。
应用QoS的优点如下:
(1)针对多个IP网络进行应用限制。
(2)为网络安全提供服务限制。
【工作任务】——基于应用公司流量控制配置
1.工作任务背景
千山公司深圳总公司发现最近公司里有很多员工在上班的时间下载电影等非正常工作资源,严重占用公司网络带宽,使一些类似网页访问的正常网络工作都无法进行。公司决定在防火墙Firewall-1配置基于应用的QoS,如图5-6-1所示。
图5-6-1 应用QoS配置
2.工作任务分析
环境设备如表5-6-1和表5-6-2所示。
表5-6-1 深圳总公司部门网络信息
表5-6-2 网络参数设置
配置出口带宽为100MB,对销售部和财务部做基于应用的QoS配置。限制P2P应用下载带宽为5MB,上传最大为5MB,HTTP和SMTP应用带宽保障20MB,上传为10MB。
【任务实现】
1.根据所学知识完成交换机s1 VLAN划分、端口添加及IP地址配置
s1(config)#vlan 80
s1(Config-Vlan80)#switchport interface ethernet 0/0/1-10
s1(Config-Vlan80)#exit
s1(config)#int vlan 1
s1(Config-if-Vlan1)#ip address 192.168.1.1 255.255.255.0
s1(Config-if-Vlan1)#no shutdown
s1(Config-if-Vlan1)#exit
s1(config)#int vlan 80
s1(Config-if-Vlan80)#ip address 192.168.80.1 255.255.255.0
s1(Config-if-Vlan80)#no shutdown
s1(Config-if-Vlan80)#exit
s1(config)#router ospf 1
s1(config-router)#network 192.168.1.0/24 area 0
s1(config-router)#network 192.168.80.0/24 area 0
s1(config-router)#exit
2.根据所学知识完成交换机s2 VLAN划分、端口添加及IP地址配置
s2(config)#vlan 10
s2(Config-Vlan10)#switchport interface ethernet 0/0/1-4
s2(Config-Vlan10)#exit
s2(config)#vlan 20
s2(Config-Vlan20)#switchport interface ethernet 0/0/5-8
s2(Config-Vlan20)#exit
s2(config)#int vlan 1
s2(Config-if-Vlan1)#ip address 192.168.1.2 255.255.255.0
s2(Config-if-Vlan1)#exit
s2(config)#int vlan 10
s2(Config-if-Vlan10)#ip address 192.168.10.1 255.255.255.0
s2(Config-if-Vlan10)#no shutdown(www.xing528.com)
s2(Config-if-Vlan10)#int vlan 20
s2(Config-if-Vlan20)#ip address 192.168.20.1 255.255.255.0
s2(Config-if-Vlan20)#no shutdown
s2(Config-if-Vlan20)#exit
s2(config)#router ospf 1
s2(config-router)#network 192.168.1.0/24 area 0
s2(config-router)#network 192.168.10.0/24 area 0
s2(config-router)#network 192.168.20.0/24 area 0
s2(config-router)#exit
3.根据所学知识完成公共网络路由器R1端口IP地址配置
R1_config#interface fastEthernet 0/0
R1_config_f0/0#ip address 10.1.3.1 255.255.255.0
R1_config_f0/0#no shutdown
R1_config_f0/0#exit
4.完成VLAN及路由配置
根据表5-6-1和表5-6-2完成交换机、路由器和防火墙的路由配置,以使计算机能访问路由器R1。
5.配置防火墙接口
配置接口e0/2为trust区域,配置接口e0/3为untrust区域,如图5-6-2所示。
图5-6-2 端口域设置效果
6.指定接口带宽为100MB
选择“QoS”,单击“接口带宽”,在接口带宽配置界面,勾选“弹性QoS”,在e0/3接口的上行带宽和下行带宽均输入“100000”,单击“确定”完成配置,如图5-6-3所示。
图5-6-3 接口带宽配置
7.开启应用识别
单击“网络”,选择“安全域”,单击“untrust”区域,在弹出的安全域配置界面,启用应用识别,如图5-6-4所示。
图5-6-4 开启应用识别
8.配置限制P2P应用的QoS策略
单击“QoS”,选择“应用QoS”,在应用QoS配置界面,输入规则名称“P2P限制”,绑定外网接口e0/3,选择应用类型为“P2P下载”,限制上行和下行带宽均为5MB,单击“添加”,如图5-6-5所示。
图5-6-5 应用限制QoS策略
9.配置保障HTTP和SMTP应用的QoS策略
单击“QoS”,选择“应用QoS”,在应用QoS配置界面,输入规则名称“应用保障”,绑定外网接口e0/3,选择应用类型为“SMTP”和“HTTP”,带宽项上行最小带宽输入“10000”,保障下行带宽为20MB,单击“添加”,如图5-6-6所示。
图5-6-6 保障HTTP和SMTP上下行应用QoS
10.显示已配置应用策略
添加后策略会在应用QoS列表中显示,如多条策略的应用重叠,请单击策略右侧箭头移动策略位置,从上至下第一条匹配到的策略生效。如需修改策略,可单击策略右侧编辑图标编辑,如图5-6-7所示。
图5-6-7 显示应用QoS列表
11.验证配置
在PC1和PC2中利用网络带宽测试工具分别对P2P、HTTP和SMTP进行带宽测试,并完成表5-6-3的填写。
表5-6-3 验证效果
【问题探究】
(1)IP-QoS与应用QoS的区别。
(2)应用QoS的使用。
【知识拓展】
应用QoS全局有效,对流经该绑定接口的所有限制服务的流量均生效。匹配应用条目可以添加多个,类型支持预定义服务或自定义服务。接口绑定可以是内网接口或外网接口绑定到该接口的QoS策略对流经该接口的所有限定IP范围内容的流量均起效。绑定到外网接口时上行/下行控制策略对应内网用户上传/下载,绑定到内网接口上行/下行对应下载/上传。
【任务拓展】,
千山公司网络出口带宽为100MB,现对技术研发部和行政部配置应用QoS策略。将视频应用限制下行带宽5MB,上传最大为2MB。HTTP应用保障下行20MB,上行为10MB。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。