我希望得到一些关于在两个 VLAN 之间委派有限 Internet 连接的最佳实践的建议。就我而言,一个 VLAN 用于办公网络,另一个用于访客。我希望做的是允许 Office 网络的一定比例的带宽优先于访客网络。例如,如果我有 10Mbps 的下行速度,我希望在需要时始终向办公室提供高达 7Mbps 的速度,否则,来宾连接可以使用它。
我主要担心的是,如果我将访客网络的速率限制为 3Mbps,而路由器开始丢弃超过该限制的数据包,那我就是在浪费来自 ISP 的数据包。如果我理解正确,ISP 将以 10Mbps 的速度发送,然后我的路由器开始将任何超出该限制的内容丢弃到访客网络,这不是浪费带宽,必须重新发送吗?
简而言之,对上传进行速率限制很有意义,因为我可以通过路由器完全控制它,但我不确定您是否可以有效地对来自 ISP 的下游流量进行速率限制,因为我无法控制他们的路由器. 因此,如果您可以在不浪费流量的情况下对下游流量进行速率限制,您建议如何进行?
大卫
不幸的是,如果没有提供商的参与,我认为没有什么好方法可以做你想做的事。在该限制范围内,最好的办法可能是在 LAN 接口上实施出站策略。例如,如果您分别对业务网络和访客网络进行 PAT,以便可以通过目标 IP 识别返回流量,那么保证业务网络带宽的分层策略将有所帮助。本质上,父策略会将所有流量调整为 10 Mbps。然后,父级将调用一个子级策略,以保证业务网络的 7 Mbps。剩余的流量(访客网络)将能够使用剩余的流量。
请记住,这是不完美的,因为流量已经通过了 WAN。但是,如果来宾流量是 TCP,并且开始被您的出站 LAN 策略丢弃,则 TCP 会话应自行限制。这不适用于传输层的 UDP。
示例策略如下所示:
ip access-list extended BUSINESS-NETWORK
permit ip any host 1.1.1.1
!
class-map BUSINESS-NETWORK
match access-group name BUSINESS-NETWORK
!
policy-map PARENT
class class-default
shape average 10000000
service-policy CHILD
!
policy-map CHILD
class BUSINESS-NETWORK
bandwidth 7000
!
interface Fa0/0
description LAN interface
ip address x.x.x.x
service-policy output PARENT
这是一个不完美的例子,但它是我能想出的最好的例子,无需供应商参与。