
本次组网分为两大独立区域:内部系统、外部系统。内部用户通过内网交换机、内网NAT设备,经出口路由器接入外部系统;外部系统同时承载两类业务出口——外部私有内网Private、互联网Internet。 业务访问逻辑分为三类:
其中互联网链路物理带宽仅200M,存在带宽抢占、拥堵风险,需针对内网用户访问互联网流量做专属限速管控,同时保证内网互访、跨域私有内网访问不受带宽限制,本文针对限速部署点位、流量区分实现方案做完整拆解。

该点位是200M互联网带宽的物理瓶颈边界,为全网限速最优部署位置,核心优势如下:
1.带宽边界精准匹配,业务天然隔离
200M带宽仅用于互联网访问流量,在此处限速只会管控去往公网的数据;内网互访、访问外部私有内网的流量不会经过互联网链路,完全不受限速策略约束,完美匹配业务隔离需求。
2.设备资源消耗最低
若在内网核心交换机、内网NAT设备部署限速,所有内网二层转发、跨私有网段流量都会触发ACL、QOS队列匹配,大量占用设备ACL、缓存、调度资源;而外网出口路由器仅处理互联网出站流量,待处理流量规模大幅缩减,设备负载更低。
3.全局统一管控,运维简单
单台设备统一管控全网互联网总出口带宽,无需多设备同步配置,带宽监控、扩容、策略调整仅需一处修改,降低运维复杂度。
适合需要对单个内网用户做精细化独立限速的场景,例如限制单终端最大上网速率,但存在明显短板:内网互访流量会全部参与QOS匹配,产生无效调度,长期高负载场景下易造成交换机转发延迟、丢包,仅推荐小型内网环境使用。
内网交换机承载全部内网二层转发流量,在此部署全局互联网限速ACL与QOS,会持续消耗大量芯片资源,极易导致内网业务卡顿、转发性能下降,仅可叠加单用户精细化限速作为辅助策略,不适合做全局200M总带宽管控。
内网交换机、内网NAT设备技术上完全可以实现互联网流量限速,适用场景为精细化单用户带宽管控,但需提前做好流量区分,避免限速策略误伤内网互访、跨私有内网业务。
用户现有ACL配置:
acl number 3000
rule 0 deny source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 5 permit source any该ACL仅拦截了内网网段互访流量,剩余所有流量(内网访问外部私有内网、内网访问互联网)全部放行,无法单独筛选互联网流量。若直接绑定QOS限速,会将外部私有内网业务流量一并限制,违背业务隔离需求。
核心设计思路:先拦截所有私有网段流量(内网互访、外部Private内网),剩余流量即为纯互联网公网流量,配置如下:
acl number 3000
# 第一步:拦截内部系统网段互访流量
rule 0 deny source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
# 第二步:拦截所有RFC1918标准私有地址段(外部私有内网)
rule 10 deny destination 10.0.0.0 0.255.255.255
rule 20 deny destination 172.16.0.0 0.15.255.255
rule 30 deny destination 192.168.0.0 0.0.255.255
# 第三步:仅放行访问互联网公网的流量
rule 100 permit ip any any主流华为、华三、锐捷等国产网络设备均支持ACL作为QOS流分类匹配条件,完整部署流程:
在多域混合组网、互联网带宽固定受限场景下,限速点位选择核心逻辑为紧贴带宽物理瓶颈边界,优先在外网出口路由器完成全局互联网带宽管控;若内网需要精细化用户限速,可在内网设备补充分层QOS策略,同时通过精准ACL过滤私有网段流量,避免限速策略干扰内网私有业务,在带宽管控、设备性能、业务体验三者之间实现最优平衡。
另:点击下方工具可免费使用阿祥自制的ICT随身工具箱↓
常用厂商指令查找、故障码查询、快捷脚本生成,一网打尽。