隨著企業內網絡交換機的升級，端口速率越來越高，網絡帶寬也隨之而增加，本來應當讓人感覺越來越快的網絡，卻依然像蝸牛一樣慢。原因到底出在哪里呢？主要原因有兩個，一是各種網絡病毒在網絡內肆虐，二是對網絡帶寬的濫用（如大量BT下載以及視頻）。尤其是后者，一直是在網絡應用過程中最讓企業頭痛的問題。那么，有沒有什么好的辦法來解決這個問題呢？

借助交換機限制

Cisco交換機提供了簡單的對端口或用戶帶寬的限制，可以在某種程度上限制用戶對網絡的濫用。不過，由于Cisco設備只能限制端口而不能限制具體的網絡應用協議，通常只是簡單地進行帶寬限制，往往會在限制用戶濫用帶寬的同時，也影響用戶正常網絡應用和連接。

基于用戶的傳輸速率限制

基于用戶的傳輸速率限制（UBRL）采用Microflow策略功能，可以將每個流都作為唯一的流進行控制。Cisco Catalyst 4500/E和Catalyst 6500/E都支持UBRL技術，并支持高達85000 個流和511種速率，從而精確控制端口傳輸速率。

如圖1，辦公子網采用192.168.2.0地址段，銷售子網采用192.168.3.0地址段，來賓子網采用192.168.4.0地址段，子網掩碼均為255.255.255.0。辦公子網連接核心交換機的GigabitEthernet1/1端口，路由器連接至核心交換機的GigabitEthernet1/2端口。若欲將辦公子網、銷售子網和來賓子網中每個用戶訪問Internet的帶寬分別限制為5Mbps、2.5Mbps和1Mbps，可以在核心交換機上配置如下策略：

分別為不同的子網設置不同的IP訪問列表和class-map，指定欲限制的IP地址段并與class-map相匹配。

6500(config)# access-list 102 permit ip 192.168.2.0 0 0.0.0.255 any  
6500(config)# access-list 103 permit ip 192.168.3.0 0.0.0.255 any  
6500(config)# access-list 104 permit ip 192.168.4.0 0.0.0.255 any  
6500(config)# class-map identify-OA-traffic  
6500(config-cmap)# match access-group 102  
6500(config)# class-map identify-SALES-traffic  
6500(config-cmap)# match access-group 103  
6500(config)# class-map identify-GUEST-traffic  
6500(config-cmap)# match access-group 104 

然后，再分別定義policy-map，并將之與相應的IP訪問列表相匹配。允許最大帶寬為1Gbps，可用最大帶寬為5Mbps、2.5Mbps和1Mbps。

6500(config)# policy-map police-customer-traffic  
6500(config-pmap)# class identify-OA-traffic  
6500(config-pmap-c)# police flow mask src-only 10000000 5000 conform-action transmit exceed action drop  
6500(config-pmap)# class identify-SALES-traffic  
6500(config-pmap-c)# police flow mask src-only 5000000 2500 conform-action transmit exceed action drop  
6500(config-pmap)# class identify-GUEST-traffic  
6500(config-pmap-c)# police flow mask src-only 1000000 1000 conform-action transmit exceed action drop 

最后，將該帶寬訪問控制應用至Internet出口。

6500(config-pmap-c)# interface GigabitEthernet1/2  
6500(config-if)# service-policy input police-customer-traffic  
6500(config-if)#end  
6500# # write memory 

若欲將辦公子網中每個用戶訪問局域網和Internet的帶寬分別限制為5Mbps和1Mbps，可以在核心交換機上增加如下策略配置：

在IP訪問列表中增加一條任何網絡對該子網訪問的限制，定義class-map并將之與IP訪問列表相匹配。

6500(config)# access-list 105 permit ip any 192.168.2.0 0.0.0.255  
6500(config)# class-map identify-inbound-student  
6500(config-cmap)# match access-group 105 

然后，再定義基于目的的訪問控制策略，并將之最大可用帶寬限制為1Mpbs。

6500(config)# policy-map police-OA-traffic-inbound  
6500(config-pmap)# class identify-inbound-OA  
6500(config-pmap-c)# police flow mask dest-only 1000000 1000 conform-action transmit exceed action drop 

最后，將定義的帶寬訪問控制列表應用至該子網與核心交換機連接的接口。

6500(config-pmap-c)# interface GigabitEthernet1/1  
6500(config-if)# service-policy input police-OA-traffic-inbound 

其他子網的進出口帶寬流量限制設置與辦公子網類似，故不再贅述。

基于端口的傳輸速率限制

除此之外，還可以為每個端口設置所允許的最高傳輸速率和突發速率，從而避免個別用戶對網絡帶寬的濫用，保證網絡正常運行。基于端口的傳輸速率限制配置過程如下。

進入欲設置的接口，使用“rate-limit”命令限制該端口的傳輸速率。

Switch（config-if）# rate-limit input｜output access-group acl-index] bps burst-normal burst-max conform-action exceed-action 

其中，input/output表明在輸入和輸出方向應用該帶寬限制，通常情況下，應當進行雙向限制。access-group acl-index用于定義使用該帶寬限制的訪問列表。bps用于定義限制帶寬，以bps為單位，并采用8Kbps的增量。burst-normal用于定義所允許的普通突發速率，burst-max用于定義所允許的最大突發速率。conform-action用于指定在規定最大帶寬時所執行的操作。exceed-action則用于指定在規定最大帶寬時所執行的操作。返回特權EXEC模式，并保存當然配置即可。

借助流控設備限制

除以上方法以外，流量控制設備具有強大的應用識別能力，其七層透視能力能夠識別各種動態端口或端口跳變的應用（如P2P），且能提供適合行業特點的帶寬優化解決方案，既可為關鍵業務流量分配適當的帶寬份額，又能控制未經批準的應用流量，防止網絡出現擁塞和中斷，保證業務的連續性，抑制網絡攻擊的蔓延。

流量控制設備不僅可以借助網絡協議和端口號限制具體的Internet應用，而且還可以限制用戶的Internet連接帶寬，甚至為用戶設置流量配額，從而提供了更高的靈活性。流量控制設備通常串連于Internet總出口，用于限制整個網絡的Internet應用和帶寬（如圖2）。流控設備的配置大致分為兩個步驟，即先定義IP群組，然后，再為不同的IP群組指定不同的帶寬限制策略。

另外，借助Microsoft ISA實現Internet共享時，雖可限制用戶的并發連接數，但卻無法限制用戶使用的帶寬。借助交換機雖可限制用戶的使用帶寬，但卻無法限制用戶的并發連接數。因此，采用LAN方式實現Internet接入時，可以將兩者有效地結合在一起。

總之，流控設備具有較高的網絡帶寬控制能力，但設備價格相對較高，資金不太雄厚的中小型企業可能無法承受。交換機雖然帶寬控制能力相對較弱，但也在一定程度上限制用戶對網絡的濫用，并且無需另外投資，可作為近期應急的用戶限制解決方案。

圖1內網拓撲結構圖

圖2流控設備管理流量示意圖

排障小貼士

良好的流量管理策略應有對網絡故障、服務器系統故障、應用服務故障的檢測方式和能力。

1、ping偵測：通過ping的方式檢測服務器及網絡系統狀況。此種方式簡單快速，但只能大致檢測出網絡及服務器上的操作系統是否正常，對服務器上的應用服務檢測就無能為力了。

2、TCPOpen偵測：每個服務都會開放某個通過TCP連接，檢測服務器上某個TCP端口（如Telnet的23端口，HTTP的80端口等）是否開放來判斷服務是否正常。

3、HTTP URL偵測：比如向HTTP服務器發出一個對main.html文件的訪問請求，如果收到錯誤信息，則認為服務器出現故障。

4、借助監控軟件：如將Snffier安裝后接入中心交換機的鏡像端口，通過嗅探的方法，監控網絡中的數據流量，確定異常數據源及其流向;或者借助國內使用最普遍的局域網流量監控軟件——“聚生網管”(百度搜索“聚生網管”，隨便一個地址下載就可以了)，實時查看局域網電腦流量占用情況，實時限制局域網各個電腦的流量。