流量速率限制模块用户配置和使用手册本章包括如下内容：概述限速原理及实现限速的相关配置显示配置信息使用举例概述目前，随着Internet的广泛应用，网络中的通信量越来越大，网络中传输的数据流很可能会汇聚到一个链路上从而导致网络的拥塞甚至瘫痪，使网络资源的利用率大大下降。同时网络运营商希望通过用户的不同级别来合理分配带宽，以达到根据使用者的付费来分配带宽的目的。此外网络中的安全性也是一个重要的问题。HammerOS系列交换机的限速技术就是一种灵活分配带宽、有效防止非法攻击的一种网络资源调控技术。HammerOS系列交换机就是通过和路由引擎相结合而具备有多种限速的功能，从而达到了指定速率的效果。它可根据用户的不同等级分别给予用户不同的带宽。HammerOS系列交换机可按64Kbps为单位进行速率限制，至64Mbps。用户可根据需要，实现端口、VLAN、SIP、DIP、SMAC、TOS、VPT等多种限速方案，同时还可实现QOS（IP到TOS映射、VPT到TOS映射和TOS到COS映射等）系列标准，满足了不同级别的服务需求，具有很强的灵活性。从而提高了网络带宽利用率，使网络资源得到有效的控制，增强了网络性能。限速原理及实现原理HammerOS系列交换机的限速功能主要是通过令牌桶算法实现的，令牌桶算法的基本思想是：任何数据要进入网络，一定要先从令牌桶中获取一个令牌。如果此时令牌桶为空，则所到数据就要被丢弃。令牌桶的大小规定了可以发送流的数目，从而可以控制流量的突发速率。一个令牌桶过滤器可由三个参数完全描述：T表示系统的时钟模式，即每个包可划分的令牌数，HammerOS交换机系统规定每个包划分为一个字节的令牌。L表示令牌桶的最大深度，R表示令牌连续注入令牌桶的速率。当长度为P的流通过时，将消耗桶内P个令牌。除非令牌桶内有足够的令牌，否则数据将不被发送。如果发送源在发送数据时，若令牌桶内始终有足够的令牌供其使用（不会因没有令牌而等待），则称发送源的流量符合令牌桶过滤器（R，L）。考虑到R对L的影响，对于给定的流量产生过程，HammerOS系统定义了一个非递增的函数L（R），使得该过程符合令牌桶（R，L（R））。令牌桶过滤器允许发送源发送突发的数据，此时突发数据的总的比特数等于令牌桶内令牌的数量，显然，它小于令牌桶的最大深度L。因此，符合令牌桶过滤器（R，L）的发送源其平均发送速率应小于或等于R（bit/s）。而且，在任意增加的时间t内，一个由令牌桶过滤器刻划其特征的发送源的流量都不会超过R*t+L。根据上述特征，HammerOS系列交换机成功的实现了限速功能。HammerOS系列交换机流匹配实现HammerOS系统中限速模块主要维护两张表结构：Selecttable（流选择表）和Flowtable（流表）。其匹配流的过程如下图：流程说明：流分类单元根据流类型从每个到达的包中选出16个字节（字节的选取是由Selecttable决定的），利用hash算法算出一个18位的hash值。通过此hash值查找到相应流表进行匹配，每个流表都由16个字节的pattern值和mask值，如果包中每个字节按位与上相应字节的mask值，结果与其相应的pattern值相等，则为匹配流。如果不匹配，进入缺省的流表作相应处理。对于匹配流表的流，根据流表中的处理行为对匹配流作限速或其他操作。第三章配置详解第一节限速相关配置在交换机上实现限速功能包含以下内容：配置流量的特征绑定配置流类型的缺省行为配置绑定的客户接入文件将用户接入配置文件和相应端口进行绑定，并且将这种流量绑定到流类型上，在端口上进行配置文件激活删除配置操作或关闭限速功能操作配置流量的特征绑定，将流类型和相应属性进行绑定HammerOS系列交换机支持四种流类型。在限速模块中只使用了三种流类型。对于每种流类型，通过查找至多16个字节来对所有流进行匹配。每种流类型可绑定的特征有源IP、目地IP、源MAC、VLAN、端口、VPT（VlanPrioritytag）、TOS等，并且支持这七种特征相互组合绑定（注：系统不支持vlan和port组合绑定）。要配制流的特征绑定，用以下命令：configflowtype<1-3>bind{[port|vlan|smac|dip|sip|vpt|tos]}*7在配置流量和SIP、DIP、SMAC进行绑定时，可制定绑定的掩码，掩码的含义是流量可以通过IPandMASK或SMACand源MACMASK的方式进行区分。使用命令：configflowtype<1-3>sipmask<1-32>configflowtype<1-3>dipmask<dipmask/M>configflow