思科路由如何限速

       在网络管理员的日常工作中，带宽资源的管理与分配始终是一项极具挑战性的核心任务。想象一下这样的场景：公司的重要视频会议因网络卡顿而中断，调查后发现是部分员工在进行大规模文件下载占用了绝大部分带宽。此时，对网络流量进行智能、精确的速度控制就显得至关重要。作为企业级网络设备的领导者，思科在其路由器产品中集成了一套成熟且功能丰富的服务质量（服务质量，QoS）体系，为实现高效、灵活的流量限速提供了坚实的技术基础。本文将带您深入探索思科路由器的限速世界，从基础概念到高级配置，为您呈现一份详尽的实战手册。

       在开始配置之前，我们必须理解思科路由器进行流量管理的基本哲学。它并非简单地“一刀切”式限制所有流量，而是倡导一种基于策略的、差异化的智能管理。其核心在于识别、分类并对不同重要性的数据流施加不同的处理策略，从而确保关键业务（如语音、视频）获得优先保障，同时非关键流量（如娱乐下载）被合理约束。

一、 理解服务质量（QoS）的基石：分类与标记

       所有精细化的流量控制都始于准确的流量识别。思科路由器可以通过多种方式对数据包进行分类，例如检查互联网协议（IP协议，IP）头部中的服务类型（服务类型，ToS）字段，或者更常用的，检查差分服务代码点（差分服务代码点，DSCP）值。管理员可以创建访问控制列表（访问控制列表，ACL）来匹配特定的源地址、目的地址、协议或端口，从而界定需要管理的流量范围。分类之后是为数据包“打标签”，即标记，这通常是为其分配合适的DSCP值。这个标记会在网络中被传递，后续的网络设备可以依据此标记快速决定如何处理该数据包，而无需再次进行复杂的深度包检测。

二、 核心限速工具：基于类别的加权公平队列（CBWFQ）与限速

       这是实现带宽保证和限制最常用的组合。基于类别的加权公平队列（基于类别的加权公平队列，CBWFQ）允许管理员将接口的带宽划分为多个逻辑“队列”，每个队列对应一个流量类别。您可以为每个类别分配一个最小保证带宽，确保该类流量在网络拥塞时也能获得这部分资源。而“限速”动作则用于为该类流量设置一个绝对的上限速率，无论网络是否空闲，该类流量的速率都不会超过这个设定值。这通常通过“策略映射”中的“带宽”和“警察”命令来实现。

三、 配置流程第一步：定义流量分类标准

       假设我们需要限制来自特定子网（192.168.10.0/24）的所有流量，使其出口速率不超过10兆比特每秒。首先，我们使用一个扩展访问控制列表（ACL）来匹配这部分流量。在全局配置模式下，输入命令“access-list 101 permit ip 192.168.10.0 0.0.0.255 any”。这条命令创建了一个编号为101的访问控制列表（ACL），它允许（即匹配）所有从192.168.10.0网段发往任何目的地的互联网协议（IP协议，IP）数据包。

四、 创建类映射：将标准归类

       接下来，我们需要创建一个“类映射”，将上述访问控制列表（ACL）定义的匹配条件赋予一个易于理解的名称。输入命令“class-map match-all LIMIT-SUBNET”。这里的“match-all”表示必须满足所有匹配条件（本例中只有一个条件）。然后，在类映射配置子模式下，输入“match access-group 101”。这样，我们就创建了一个名为“LIMIT-SUBNET”的类，它代表了所有被访问控制列表（ACL）101匹配的流量。

五、 构建策略映射：定义处理动作

       策略映射是配置的核心，它决定了被分类的流量会得到怎样的处理。我们创建一个名为“INTERNET-POLICY”的策略映射：输入命令“policy-map INTERNET-POLICY”。然后，在这个策略映射中关联我们之前定义的类，并为其指定动作：输入“class LIMIT-SUBNET”。现在，我们进入了针对这个特定类的动作配置子模式。

六、 应用警察命令：实施精确限速

       在“class LIMIT-SUBNET”子模式下，输入限速命令：“police 10000000 1500 1500 conform-action transmit exceed-action drop”。这条命令需要仔细解读：“police”是监管动作；第一个数字“10000000”表示承诺信息速率（承诺信息速率，CIR），单位是比特每秒，这里是10兆比特；其后两个“1500”分别代表正常突发量（正常突发量，Bc）和超额突发量（超额突发量，Be），单位是字节，通常与接口最大传输单元（最大传输单元，MTU）相关；最后的“conform-action transmit”表示符合速率的数据包将被正常转发，“exceed-action drop”表示超出速率限制的数据包将被丢弃。这是一种严格的限速策略。

七、 更灵活的限速：采用双速率三色标记器

       上例中的“警察”命令是一种单速率三色标记器（单速率三色标记器，srTCM）。对于需要更精细控制的场景，思科支持双速率三色标记器（双速率三色标记器，trTCM）。其命令格式类似，但可以分别定义承诺信息速率（CIR）和峰值信息速率（峰值信息速率，PIR）。例如：“police cir 8000000 pir 12000000 conform-action transmit exceed-action set-dscp-transmit 0 violate-action drop”。这条命令设定了8兆比特每秒的承诺速率和12兆比特每秒的峰值速率。符合承诺速率的数据包正常转发，超过承诺速率但低于峰值速率的数据包，其差分服务代码点（DSCP）值可能被重标记（例如设为0，即尽力而为），而超过峰值速率的数据包则被丢弃。这提供了更丰富的流量整形和处理层次。

八、 将策略应用到接口：生效的关键一步

       无论策略映射配置得多么完美，只有将其应用到具体的网络接口上才会生效。进入需要应用限速策略的接口配置模式，例如千兆以太网接口0/0/0：“interface GigabitEthernet 0/0/0”。然后，在接口上应用我们创建的策略映射，并指定方向。对于限制流出路由器的流量（通常是我们想限制的下载或对外访问），应用在出口方向：输入命令“service-policy output INTERNET-POLICY”。至此，针对192.168.10.0子网的限速策略就开始在该接口的出口方向生效了。

九、 验证与监控：确认配置效果

       配置完成后，必须进行验证。使用命令“show policy-map interface GigabitEthernet 0/0/0”可以详细查看该接口上应用的所有策略映射的统计信息。输出会显示“LIMIT-SUBNET”这个类匹配了多少数据包和字节数，有多少数据包符合、超出或违反了速率限制并被相应处理。这是监控策略运行状态和效果的最直接工具。此外，“show access-lists 101”可以查看访问控制列表（ACL）的匹配计数，间接反映被限速流量的规模。

十、 应对突发流量：理解令牌桶机制

       细心的读者可能对“警察”命令中的“正常突发量（Bc）”和“超额突发量（Be）”感到疑惑。这涉及到思科限速底层使用的“令牌桶”算法。想象有两个桶，一个用于承诺突发，一个用于超额突发。系统会按照承诺信息速率（CIR）向承诺令牌桶中填充“令牌”，每个令牌允许发送一定量（通常是一个字节）的数据。数据包发送时需要消耗相应大小的令牌。如果承诺令牌桶中有足够令牌，数据包被视为“符合”，并被发送，同时消耗令牌。如果承诺令牌桶空了，但超额令牌桶还有令牌，数据包可借用令牌发送，但被标记为“超出”。如果两个桶都空了，数据包就被视为“违反”并丢弃。这允许流量在短时间内突发，又能在长期上被严格限制在平均速率之下，使网络行为更平滑。

十一、 限速与整形的区别：关键概念辨析

       另一个重要的概念是“流量整形”。它常与“监管”（即我们所说的限速）混淆。简单来说，“监管”是惩罚性的，它直接丢弃（或标记）超出速率的流量；而“整形”是缓冲性的，它将超出速率的流量暂时存放在队列中，等待链路空闲时再平滑地发送出去，从而避免丢包，但会引入延迟。整形使用“shape”命令配置，常用于将高速本地流量适配到低速的广域网（广域网，WAN）链路上，确保不因速率不匹配导致广域网（WAN）链路拥塞。而监管则更常用于在网络的边界执行严格的速率上限。

十二、 基于应用的限速：下一代深度识别

       现代思科路由器，特别是运行互联网操作系统（互联网操作系统，IOS）XE版本或集成应用可视性与控制（应用可视性与控制，AVC）功能的设备，支持基于网络层以上信息的流量识别。这意味着您可以直接基于“微信”、“视频流媒体”或“文件共享”等应用类型来创建类映射，而不仅仅是互联网协议（IP协议，IP）地址和端口。这通过思科的自适应网络感知（自适应网络感知，NBAR2）协议实现。配置时，可以使用“match protocol”命令，例如“match protocol http”，然后同样在策略映射中对其应用“警察”或“带宽”限制。这使得策略的制定更加直观和贴近业务需求。

十三、 分层限速：实现复杂的带宽分配模型

       在大型企业或服务提供商网络中，可能需要更复杂的层次化带宽分配。思科支持分层服务质量（HQoS）。例如，您可以在一个物理接口的总带宽下，先为不同部门（如市场部、研发部）划分不同的子带宽池，然后在每个部门的带宽池内，再为不同的应用（如网页、邮件、视频）进行二次分配和限速。这通常通过嵌套式的策略映射来实现，即在一个父策略的类中调用另一个子策略映射。这种结构提供了无与伦比的带宽控制灵活性和精细度。

十四、 自动化与智能：软件定义广域网（SD-WAN）中的限速

       随着软件定义广域网（软件定义广域网，SD-WAN）技术的普及，流量管理进入了新的阶段。在思科的软件定义广域网（SD-WAN）解决方案中，限速策略可以通过集中的控制器以图形化方式定义，并自动下发到网络边缘的所有设备。策略可以基于实时链路质量、应用优先级和业务意图动态调整。例如，可以设置一条策略：“当主要链路的延迟超过50毫秒时，将所有视频会议流量切换到备用链路，并保证其最低带宽为5兆比特每秒，同时将文件备份流量限制在2兆比特每秒以内”。这大大简化了大规模、多分支场景下的复杂流量工程管理。

十五、 常见配置误区与排错指南

       在实际配置中，一些常见错误会导致限速策略不生效。首先，确保策略应用在了正确的接口和正确的方向（input或output）上。其次，检查访问控制列表（ACL）或协议匹配条件是否正确，可以使用“show access-lists”或测试流量来验证匹配计数是否增加。第三，注意速率单位，配置命令中的速率通常是比特每秒，而日常所说的“10M带宽”往往指10兆比特每秒，需换算成10000000。第四，在高速接口上，过于精细的复杂策略可能会对路由器中央处理器（中央处理器，CPU）造成压力，此时应考虑利用硬件转发路径的支持。

十六、 最佳实践与设计考量

       设计一个有效的限速策略，技术实现只是其中一环。更重要的是前期的规划和设计。建议遵循以下步骤：1. 审计网络，了解流量构成和峰值时间；2. 定义明确的业务优先级，与各部门协商确定关键应用的带宽需求；3. 设计策略时，始终为网络控制和管理流量（如路由协议）保留最低必要带宽，通常通过“class-default”类来保证；4. 采用增量部署，先在非核心链路或非高峰时段测试策略效果；5. 建立持续的监控和报告机制，根据业务变化定期调整策略参数。

十七、 面向未来：人工智能网络感知（AI Network Analytics）的潜力

       思科正在将人工智能和机器学习技术融入其网络产品线，形成了人工智能网络感知（人工智能网络感知，AI Network Analytics）能力。未来，限速策略可能不再是静态配置的。系统可以通过学习历史流量模式，自动识别异常流量（如内部爆发的蠕虫病毒或未经授权的视频广播），并动态生成临时的限速或阻断策略，在管理员干预前就抑制威胁的扩散。同时，它也能预测业务增长趋势，为带宽扩容或策略调整提供数据驱动的建议。

十八、 从技术工具到业务使能

       思科路由器的限速功能，远不止是几个命令行参数的组合。它是一套完整的服务质量（QoS）哲学和工具箱的体现。从基础的访问控制列表（ACL）匹配到基于类别的策略映射（CBWFQ）监管，再到高级的层次化服务质量（HQoS）和软件定义广域网（SD-WAN）智能策略，其核心目标始终如一：将有限的网络带宽资源，转化为可预测、可管理、并能有效支撑关键业务发展的战略资产。掌握它，意味着您不仅能解决“谁抢了带宽”的运维难题，更能主动设计网络，使其成为驱动业务效率提升的坚实平台。希望这份详尽的指南，能助您在网络流量管理的道路上，更加从容和自信。