asa 5510 MQC方式对每个IP进行限速、某网段限速、某些IP进行限速

最新推荐文章于 2022-07-14 22:32:42 发布
最新推荐文章于 2022-07-14 22:32:42 发布
阅读量3.9k 收藏 1
点赞数


限速配置如下:

access-list rate_limit_1 extended permit ip any host 192.168.1.2    //(限制192.168.1.2下载)
access-list rate_limit_1 extended permit ip host 192.168.1.2 any    //(限制192.168.1.2上传)
access-list rate_limit_2 extended permit ip any host 192.168.1.3    //(限制192.168.1.3下载)
access-list rate_limit_2 extended permit ip host 192.168.1.3 any    //(限制192.168.1.3上传)  


class-map  rate_limit_1
 match access-list  rate_limit_1

class-map rate_limit_2
 match access-list  rate_limit_2


policy-map rate_limit
 class  rate_limit_1
  police input 819000 4368000        //(限制192.168.1.2上传速度为99K/S)  
  police output 819000 4368000      //(限制192.168.1.2下载速度为99K/S)
 class  rate_limit_2
  police input 819000 4368000        //(限制192.168.1.3上传速度为99K/S)  
  police output 819000 4368000      //(限制192.168.1.3上传速度为99K/S)

service-policy rate_limit interface inside    //(应用到内网接口上)
注:由于是根据单个IP限制速度,所以ACL要写成一个IP两句ACL,一个匹配上传,另一个匹配下载。要是所有IP都写在一个ACL里,那么是限制所有IP的共用这99K/s。一定要写不同的ACL。
                  police  input  819000  4368000  前一个819000速度是基本速率,后一个4368000是突发速率,发流量:可以按照  最大流量/8 *1.5  这个公式来算。也可以是其它。
如: police output 40000000 5625000           // 策略的 outbound 流量限制在 40M bits 以下,突发 45M 5625000 bytes 注意看单位

注1:这种限制流量的做法不能使用在outside上,因为在outside端口上做PAT,地址经过NAT转换以后,找不到匹配的目的和原地址,但是我试过如果使用any  到  any是可以限制流量的。任何源和目的指定地址限速都不会生效。 
注2:关于速率的问题
在应用police的时候单位是bps  记住是bit  它是速率单位,所以如果要把它换算为存储单位byte需要除以8。

二、限制某网段总上行、下行速率
以限制172.16.18.0  /24网段为例:

!
access-list pol extended permit ip any 172.16.18.0 255.255.255.0
access-list pol extended permit ip 172.16.18.0 255.255.255.0 any
!
class-map pol
 match access-list pol
 !
policy-map pol
 class pol
  police input 3276500 600000
  police output 26214000 5000000
!
service-policy pol interface inside
!
三、使用 object-group对象分组的方法
到底是实现对某些IP总上行下行,还是能实现对某个IP上行下行限速,没实际测试过。这写法看着方便,先留着。
把ACL改一下,最好是建一下对象分组,再把这个对象分组加到ACL中,这样以后想对某个IP限速,直接把它加到这个对象分组中就OK了。 

object-group network rate_limit
  network host *.*.*.*  
access-list rate_limit extended permit ip object-group rate_limit any
access-list rate_limit extended permit ip any object-group rate_limit 

  class-map map1
   match access-list rate_limit
policy-map map2
class map1
  police output 200000 43750
  police input 800000 250000
service-policy map2 interface outside
!
问:object-group network rate_limit
  network host *.*.*.*
换成如range x.x.x.2 x.x.x.90
会对每个IP单独限速吗
单个添加工作还是太大了
答:
没有试过,不过应该可以,使用对象分组其实就是为了少写几个ACL,只要能定位IP就可以。

以上show access-list就可以看到生效的ACL了, 其实就是:使用object-group 能大大简化配置工作量




Letter_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
案例38在华为设备上实施网络 QoS 限速
qq_43416206的博客
11-04 385
通过监控进入网络的某一流量的规格,将它限制在一个允许的范围之内,若某个连接的报文流量过大,就对流量进行惩罚,比如丢弃报文,或重新设置该报文的优先级(比如限制 HTTP 报文不能占用超过50%的网络带宽),以保护网络资源和运营商的利益不受损害。监管实施位置如图 38-1 所示,在路由器的入方向实施了监管,使得高速链路不对低速链路形成冲击。[HW-R1lacInameXIANSU //使用ACL对流量分类,注意,配置OoS的难点就在于如何对流量进行分类,可以根据自己的需要来定义流量,ACL是常用方式之一。
QoS专题-第4期-QoS实现之限速
weixin_30381317的博客
09-21 1631
QoS实现之限速 通过前面几篇介绍,大家都知道了MQC是实现QoS的技术,优先级映射是实现QoS的前提条件。读完之后也许无法直观感觉到QoS是如何提升网络服务质量。今天小编给大家介绍限速,通过实验,可以直观地感受到QoS如何提升服务质量。 1 什么是限速 有人会问了,既然是限制我的上网速度,怎么说是提高服务质量呢。举个例子,如果一个人使用BT疯狂下载视频,导致网络拥塞,严重影响了其...
ASA 5100限​速 MQC方式每个IP进行限速、某网段限速、某些IP进行限速
weixin_33842328的博客
01-05 310
一、针对每个IP进行限速 会写死人的方法:首先:不是所有设备都能很好支持单个IP限速,要看是否支持,比如3550和6509都支持QoS,但是3550就不支持micro flow,所以不能单ip限制流量,而6509则支持micro flow,所以可以单个ip限制流量。想要实现,可用如下方法针对单IP进行限速:拓扑图:限速配置如下:!access-listrate_limit...
Cisco asa5510 防火墙限制局域网内每个IP的速度
weixin_33841503的博客
05-16 825
IOS版本,822-k8(以前自带版本是703,03年的IOS很残疾,不支持定义input 建议刷到723以上) IX/ASA基于IP限速详解实验配置 ASA, PIX PIX/ASA基于IP限速详解实验配置 实验目的:pix/asa 基于IP限速 注:试验已经经过验证,确认可行。 图: 测试PC----(inside)pix515 (outsid...
ASA防火墙限速
weixin_34114823的博客
08-03 654
目的:对192.168.57.0段用户限速30M(即下载速度30/8,上传同),192.168.57.1和192.168.57.127除外access-list rate-limiting extended deny ip any 192.168.57.1 255.255.255.255access-list rate-limiting extended deny ip 1...
【控制篇 / 流量】(5.2) ❀ 03. 对每个 IP 进行限速 ❀ FortiGate 防火墙
热门推荐
防火墙技术专栏
01-05 1万+
【简介】在大型企业中人员比较多而带宽又不太够的情况下,需要对上网进行限速,但是领导的速你不能限吧,在限制员工上网的速度同时又要保证领导上网的速度,这就需要用到针对每个IP限速了。 地址对象 我们需要把领导的电脑IP组成地址组。 ① 选择菜单【策略&对象】-【对象】-【地址】,点击 “Create New” 新建地址对象。 ......
[小项目实战]分公司c3750简单mls qos限速asa5510实现url过滤
weixin_34357928的博客
05-07 242
现分公司的一个车间要出租给外加工单位,是我们boss的朋友,所以网络设备什么的都是由我们提供,大概车间办公室10+电脑左右,我们自己电脑总数在60台,其中能上外网的30+,领导让我去做这个项目,要求如下:1、外租网络不能访问我们内网,可以访问外网2、带宽的问题,我们总带宽是10M,我们分部实施了ad管理,像一些P2P下载软件用户是没有权限安装的,平时不搞迅雷下载和在线看视频的...
ASA5510限速实例
weixin_33835690的博客
06-15 265
最终结果: BJG-ASA5510# sh service-policy interface LAN0 Interface LAN0: Service-policy: rate_limit_1 Class-map: rate_limit_1 Input police Interface LAN0: cir 819000 ...
华为#S系列交换机和E系列交换机基于IP网段配置限速
网络管理员
09-24 2292
S系列交换机(S1700除外)和E系列交换机基于IP网段配置限速 是通过ACL和MQC实现的,关键配置如下: 基于源地址 system-view //进入系统视图 [HUAWEI] acl 3000 //创建ACL [HUAWEI-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 //通过配置规则(rul
IPv6技术课件:MQC配置.pdf
02-01
MQC(Modular QoS Command-Line Interface)是一种模块化的QoS命令行接口,通过将具有某类共同特征的报文划分为一类,并为同一类报文提供相同的服务,也可以对不同类的报文提供不同的服务。MQC包含三个要素:流分类...
MQC-75型多功能清仓机在煤矿水仓清理上的应用
06-12
煤矿矿井中水仓需要经常清理,采用人工的方式费时费力,劳动强度大,有一定的危险性。为了提升清理效率,同时考虑矿井地面煤泥输送,以新景矿为例,分析研究了MQC-75型多功能清仓机在煤矿水仓清理上的应用,介绍了该清仓机...
华为路由器限速MQC限速和QOS
迷逝
08-02 2039
#创建acl匹配源IP地址 acl number 2000 rule 5 permit source 10.5.1.0 0.0.0.255 #配置流分类 traffic classifier c1 operator and if-match acl 2000 if-match protocol ip if-match any #配置流行为 traffic behavior 10m permit car cir 10240 pir 10240 cbs 1250000 pbs 1250000 g
Cisco交换机QOS(限速)详解
weixin_33695082的博客
01-29 2111
一、qos介绍 在Cisco IOS 系统上作QOS,一般要有以下五步: 1、启用全局qos 2、设置ACL匹配的流量 3、设置一个class-map,来匹配第二步设置的ACL 4、设置一个policy-map匹配class-map,然后再在这里面定义一系列策略 5、将policy-map应用到相应的接口上 解注: 1、交换机默认情况下qos是disable,...
ASA 配置笔记
weixin_33890499的博客
12-30 450
公司最近增加一台CISCOASA5510-K8防火墙设备,也算是初次接触吧,一波三折,折腾了一个多星期也算基本摸清,现为这一个多星期的折腾记录一下,日后少做一些无用功。这次ASA主要用于远程接入及一部分服务器外网访问,按此需求也列出以下ASA需配置的项目:1、远程接入,IPSec***或SSL***,因购买此型号的防火墙SSL***授权只有两个,只有选...
访问控制列表 access list
不积跬步,无以至千里;不集细流,无以成江海
12-12 3787
 ¥访问控制列表 access list.使用访问控制列表。两种形式:基本的和扩展的。access-list 2 per 1.1.1.0 0.0.0.255access-list 100 per tcp 1.1.1.1 0.0.0.0 2.2.2.2 0.0.0.0 eq 23列表元素按顺序应用。access-list 102 dny ip host 1.1.1
Cisco ASA 8.3前及8.3后版本Access-list 变化
dianchen7336的博客
04-17 507
8.2及之前 access-list:源地址是真实IP地址,目的地址是映射地址packet-tracer:源地址为真实IP地址,目的地址为映射地址8.3及之后access-list:源地址和目的地址都是真实的地址packet-tracer:源地址为真实IP地址,目的地址为映射地址 8.3及之后使用真实IP地址的功能   access-group command   M...
asa 防火墙拦截了https_ASA防火墙设置URL过滤
weixin_31681589的博客
01-12 447
实施URL过滤一般分为以下三个步骤:1.创建class-map(类映射),识别传输流量;2.创建policy-map(策略映射),关联class-map;3.应用policy-map到接口上。创建class-map,识别传输流量ASA(config)# access-list 100 permit tcp 192.168.1.0 255.255.255.0 any eq wwwASA(config...
QoS-基于IP网段限速配置
u013573262的博客
07-14 903
QoS
无人机图像目标检测.zip
最新发布
09-05
目标检测(Object Detection)是计算机视觉领域的一个核心问题,其主要任务是找出图像中所有感兴趣的目标(物体),并确定它们的类别和位置。以下是对目标检测的详细阐述: 一、基本概念 目标检测的任务是解决“在哪里?是什么?”的问题,即定位出图像中目标的位置并识别出目标的类别。由于各类物体具有不同的外观、形状和姿态,加上成像时光照、遮挡等因素的干扰,目标检测一直是计算机视觉领域最具挑战性的任务之一。 二、核心问题 目标检测涉及以下几个核心问题: 分类问题:判断图像中的目标属于哪个类别。 定位问题:确定目标在图像中的具体位置。 大小问题:目标可能具有不同的大小。 形状问题:目标可能具有不同的形状。 三、算法分类 基于深度学习的目标检测算法主要分为两大类: Two-stage算法:先进行区域生成(Region Proposal),生成有可能包含待检物体的预选框(Region Proposal),再通过卷积神经网络进行样本分类。常见的Two-stage算法包括R-CNN、Fast R-CNN、Faster R-CNN等。 One-stage算法:不用生成区域提议,直接在网络中提取特征来预测物体分类和位置。常见的One-stage算法包括YOLO系列(YOLOv1、YOLOv2、YOLOv3、YOLOv4、YOLOv5等)、SSD和RetinaNet等。 四、算法原理 以YOLO系列为例,YOLO将目标检测视为回归问题,将输入图像一次性划分为多个区域,直接在输出层预测边界框和类别概率。YOLO采用卷积网络来提取特征,使用全连接层来得到预测值。其网络结构通常包含多个卷积层和全连接层,通过卷积层提取图像特征,通过全连接层输出预测结果。 五、应用领域 目标检测技术已经广泛应用于各个领域,为人们的生活带来了极大的便利。以下是一些主要的应用领域: 安全监控:在商场、银行
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值