合理运用QoS进行引流
一、项目背景
某单位根据自己公司结构划分了三个大的网段,并在此基础上进行进一步的子网划分,业务网关都在核心交换机S12508上,通过核心交换机连通内网办公环境。
由于网络环境中没有安全设备无法保证网络的安全稳定运行,现购买了S12508的一块防火墙插卡,要求部门间互访通过防火墙插卡进行控制,部门内部互访在核心交换机本地转发不通过防火墙。考虑到防火墙性能问题所有业务网关在核心交换机上不变。
二、网络拓扑图
改造前 改造后
三、网络改造分析
1、业务网关都在核心交换上保持不变,通过QoS将需要的流量引流到防火墙上。
2、核心交换机与防火墙插卡互联口配置成trunk口允许相应vlan通过,且建立核心交换机与防火墙的三个互联接口。
3、防火墙上通过明细路由对引流的流量进行转发,目的网段是A、B、C部门的流量分别走A、B、C部门的互联接口,保证路由来回路径一致。
4、防火墙web界面对三个互联接口分别建立三个不同的域,通过对三个互联接口的控制达到对三个部门的控制。
四、关键配置
核心交换机引流配置:
traffic classifier 50 operator and
if-match acl 3050 //交换机本地转发acl
traffic classifier 30 operator and
if-match acl 3030 //引流到防火墙acl
traffic behavior 50
filter permit //部门内流量本地转发
traffic behavior 30
redirect next-hop 1.1.1.1 //将A部门到其他部门流量引流到防火墙
qos policy 10
classifier 50 behavior 50
classifier 30 behavior 30
qos vlan-policy 10 vlan 10 inbound //在部门业务vlan下应用QoS
这样,实现了所有业务网关在核心交换机上保持不变,部门间互访的流量QoS引流到防火墙进行控制。
例如,A部门需要访问B部门,流量先经过交换机的QoS策略通过A部门互联口到达防火墙,再匹配常规明细路由,通过B部门互联口达到交换机,最终到达B部门;B部门数据返回A部门时,通过QoS策略和B部门互联口到达防火墙,再通过明细路由及A部门互联口达到交换机,从而到达A部门。这样就保证了路由来回路径的一致。
五、小结
QoS引流技术的关键点在于:一是要通过ACL将业务网段正确归类;二是要保证引流后的数据来回路径一致。
2015年12月
本期文章
-
刊首语
-
公司动态
-
行业聚集
-
产品推荐
-
案例介绍
-
经验共享
-
服务明星
-
培训天地