合理运用QoS进行引流

　　一、项目背景

　　某单位根据自己公司结构划分了三个大的网段，并在此基础上进行进一步的子网划分，业务网关都在核心交换机S12508上，通过核心交换机连通内网办公环境。

　　由于网络环境中没有安全设备无法保证网络的安全稳定运行，现购买了S12508的一块防火墙插卡，要求部门间互访通过防火墙插卡进行控制，部门内部互访在核心交换机本地转发不通过防火墙。考虑到防火墙性能问题所有业务网关在核心交换机上不变。

　　二、网络拓扑图

　　                        改造前             改造后

　　三、网络改造分析

　　1、业务网关都在核心交换上保持不变，通过QoS将需要的流量引流到防火墙上。

　　2、核心交换机与防火墙插卡互联口配置成trunk口允许相应vlan通过，且建立核心交换机与防火墙的三个互联接口。

　　3、防火墙上通过明细路由对引流的流量进行转发，目的网段是A、B、C部门的流量分别走A、B、C部门的互联接口，保证路由来回路径一致。

　　4、防火墙web界面对三个互联接口分别建立三个不同的域，通过对三个互联接口的控制达到对三个部门的控制。

　　四、关键配置

　　核心交换机引流配置：

　　traffic classifier 50 operator and

　　if-match acl 3050 //交换机本地转发acl

　　traffic classifier 30 operator and

　　if-match acl 3030 //引流到防火墙acl

　　traffic behavior 50

　　filter permit //部门内流量本地转发

　　traffic behavior 30

　　redirect next-hop 1.1.1.1 //将A部门到其他部门流量引流到防火墙

　　qos policy 10

　　classifier 50 behavior 50

　　classifier 30 behavior 30

　　qos vlan-policy 10 vlan 10 inbound //在部门业务vlan下应用QoS

　　这样，实现了所有业务网关在核心交换机上保持不变，部门间互访的流量QoS引流到防火墙进行控制。

　　例如，A部门需要访问B部门，流量先经过交换机的QoS策略通过A部门互联口到达防火墙，再匹配常规明细路由，通过B部门互联口达到交换机，最终到达B部门;B部门数据返回A部门时，通过QoS策略和B部门互联口到达防火墙，再通过明细路由及A部门互联口达到交换机，从而到达A部门。这样就保证了路由来回路径的一致。

　　五、小结

　　QoS引流技术的关键点在于：一是要通过ACL将业务网段正确归类;二是要保证引流后的数据来回路径一致。

2015年12月