FAQ-AR路由器如何对IPSec数据流进行限速

发布时间:  2015-12-04 浏览次数:  743 下载次数:  0
问题描述
AR路由器如何对IPSec数据流进行限速?
解决方案
如图1所示,企业分支与企业总部的通信被IPSec加密保护。现对RouterA到RouterB的IPSec数据流进行限速。

图1 IPSec组网图



一般情况下,我们都是通过ACL来精确匹配数据流,达到针对某些限速的需求;如果通过ACL来匹配IPSec数据流,需要对IPSec流量的转发比较熟悉,以及数据流的进出很了解才能正确匹配数据流。

<Huawei> system-view
[Huawei] acl 3005   //配置ACL中rule规则定义IPSec数据流限速的地址网段
[Huawei-acl-adv-3005] rule 0 permit ip source 1.1.1.0 0.0.0.255 destination 2.1.1.0 0.0.0.255   //将IPSec数据流的地址网段必须是公网地址
[Huawei-acl-adv-3005 quit
[Huawei] interface gigabitethernet0/0/1    //在应用IPSec策略的接口上限速
[Huawei-GigabitEthernet0/0/1] qos car outbound acl 3005 cir 1024 //配置在接口出方向对符合ACL3005规则的报文做流量限速,指定承诺信息速率为1M

如果对IPSec数据流不是很了解,建议通过qos group的方式来匹配IPSec数据流,具体操作如下:

<Huawei> system-view
[Huawei] ipsec policy policy1 10 isakmp   //对IPSec策略添加qos标记
[Huawei-ipsec-policy-isakmp-policy1-10] qos group 30   //将IPSec数据流标记为group 30,下面通过流行为来匹配
[Huawei-ipsec-policy-isakmp-policy1-10] quit
[Huawei] traffic classifier class1
[Huawei-classifier-class1] if-match qos-group 30   //匹配上述标记为group 30的IPSec数据流,关键是对应的关系
[Huawei-classifier-class1] quit
[Huawei] traffic behaivor b1
[Huawei-behaivor-b1] car cir 1024   //通过流动作,使得IPSec的数据流限速1M
[Huawei-behaivor-b1] quit
[Huawei] traffic policy p1
[Huawei-policy-p1] classifier c1 behaivor b1    //将流行为与流动作做关联,此时,qos-group 30中的数据将执行behaivor的动作,限速为1M 
[Huawei-policy-p1] quit
[Huawei] interface gigabitethernet0/0/1    //接口上应用策略,根据业务选择方向,当IPSec数据流通过时,会根据匹配原则来执行限速的动作
[Huawei-GigabitEthernet0/0/1] traffic-policy p1 outbound 
//在出方向上应用策略,与入方向可二选一,主要是查看数据流对于接口来说,是流入还是流出
[Huawei-GigabitEthernet0/0/1] traffic-policy p1 inbound     
//在入方向上应用策略,与入方向可二选一,主要是查看数据流对于接口来说,是流入还是流出

注意:如果在IPSec策略中修改qos group,流策略匹配新的qos group的时候,需要通过命令reset ipsec sa 或 reset ike sa 重新协商建立新的SA才能生效。

END