管制
要将 QoS 策略管制应用于类映射,请在类配置模式下使用 police 命令。要取消速率限制,请使用此命 no 令的形式。
police{ output| input} conform-rate[ conform-burst] [ conform-action[ drop| transmit] [ exceed-action[ drop| transmit]]]
no police
Syntax Description
合格率 |
设置此流量类别的速率限制,范围为每秒 8000 至 2000000000 比特。对于 ASA virtual 和 Firepower 4100/9300,范围为 8000-100000000000。例如,要将流量限制为 5Mbps,请输入 5000000。 |
conform-burst |
指定控制到符合速率值之前连续突发中允许的最大即时字节数,该值介于 1000 到 512000000 字节之间。对于 ASA virtual 和 Firepower 4100/9300,范围为 1000-25600000000。 如果省略此参数,则默认值为 conform-rate(以字节为单位)的 1/32(也就是说,在符合率为 100,000 的情况下,默认 conform-burst 值为 100,000/32 = 3,125)。请注意,conform-rate 的单位为位/秒,而 conform-burst 的单位为字节。 |
conform-action [drop | transmit ] |
设置流量低于管制速率和突发大小时要执行的操作。您可以 drop 或 transmit 流量。默认为传输流量。 |
exceed-action [drop | transmit ] |
设置流量超过策略管制速率和突发大小时要执行的操作。您可以拦截超出监管速率和突发大小的数 drop 据 transmit 包。默认情况下会丢弃多余的数据包。 |
input |
启用输入方向的流量监管。 |
output |
启用输出方向的流量监管。 |
Command Default
无默认行为或变量。
Command Modes
下表展示可输入命令的模式:
命令模式 |
防火墙模式 |
安全情景 |
|||
---|---|---|---|---|---|
路由 |
透明 |
一个 |
多个 |
||
情景 |
系统 |
||||
类配置 |
|
— |
|
— |
— |
Command History
版本 |
修改 |
---|---|
7.0(1) |
添加了此命令。 |
7.2(1) |
添加了 input 选项。现在支持入站方向的策略管制。 |
Usage Guidelines
监管是一种确保没有流量超过您配置的最大速率(以比特/秒为单位)的方法,从而确保没有任何一个流量可以接管整个资源。如果流量超过最大速率,ASA 将丢弃超额的流量。策略管制还设定了允许的单次最大突发流量。
要启用策略管制,请使用模块化策略框架:
1.class-map—识别要执行监管的流量。
2.policy-map- 标识与每个类映射关联的操作。
-
a.class- 标识要对其执行操作的类映射。
-
b.police- 为类映射启用策略管制。
3.service-policy- 将策略映射分配到接口或全局。
如果需要,可以为 ASA 单独配置各种 QoS 功能。不过,ASA 上通常会配置多种 QoS 功能以便可以优先排列某些流量,并防止其他流量导致带宽问题。
请参阅以下每个接口支持的功能组合:
-
标准优先级排队(针对特定流量)+ 监管(针对其余流量)。
无法对同一组的流量配置优先级排队和策略管制。
-
流量整形(适用于接口上的所有流量)+ 分级式优先级排队(适用于一部分流量)。
通常,如果您启用流量整形,也不会为相同的流量启用策略管制,但 ASA 不限制您进行这种配置。
请参阅以下准则:
-
QoS 是单向应用的;只有进入应用策略映射的接口的流量才会受到影响(或退出接口,取决于您是否指定 input 或 output )。
-
如果从已建立现有流量的接口应用或删除服务策略,则 QoS 策略不会从流量流应用或删除。要为此类连接应用或删除 QoS 策略,您必须清除连接并重新建立连接。查看命令。 clearconn
-
不支持到箱流量。
-
不支持进出 VPN 隧道绕行接口的流量。
-
当您匹配隧道组类映射时,仅支持出站监管。
Examples
以下是输出方向的 police 命令的示例,该命令将符合速率设置为 100,000 位/秒,突发值为 20,000 字节。
ciscoasa(config)# policy-map localpolicy1
ciscoasa(config-pmap)# class-map firstclass
ciscoasa(config-cmap)# class localclass
ciscoasa(config-pmap-c)# police output 100000 20000
ciscoasa(config-cmap-c)# class class-default
ciscoasa(config-pmap-c)#
以下示例展示如何对发往内部 Web 服务器的流量执行速率限制:
ciscoasa# access-list http_traffic permit tcp any 10.1.1.0 255.255.255.0 eq 80
ciscoasa# class-map http_traffic
ciscoasa(config-cmap)# match access-list http_traffic
ciscoasa(config-cmap)# policy-map outside_policy
ciscoasa(config-pmap)# class http_traffic
ciscoasa(config-pmap-c)# police input 56000
ciscoasa(config-pmap-c)# service-policy outside_policy interface outside
ciscoasa(config)#