【新版NBR/EG】限速不准导致导致用户使用比如下载的时候超过原来下载的值

发布时间：2013-11-26

点击量：5488

1.故障现象：

流控做了限速策略，但是限制效果不准，比如设定下载最大1m，实际下载超过1m

2.故障可能原因：

限速策略不生效
限速策略配置错误，如外网ip对象选成内网用户，通道配置或者选择错误，应用选择错误等
配置策略时选择应用不全
应用识别错误
流量未匹配到正确的规则
未在所有可用的接口上配置策略

3.故障处理流程

4.故障处理步骤

步骤1：检查流控策略是否生效以及流控配置是否正确

1、检查流控策略是否生效

限速可以采用系统自带的流控方案，也可以通过高级配置自定义策略。通过流控高级可以查看，编辑和删除策略，策略的状态则表示当前策略是否生效，如果策略不生效，会有一个问号泡，如下图。点击问号泡将会提示策略不生效的原因，常见的策略不生效的原因有：

已选的应用不存在：说明策略中的应用被删除了，可在对象定义中添加相应的应用分组，如图2
时间对象未生效：说明当前的系统时间未到时间对象规定的时间，所以策略未生效，时间到了之后自然会生效，检查时间是否正确。
已选静态用户不存在：说明用户对象被删除了，可在用户组织中添加被删除的用户。
已选认证用户不存在：在开启web认证时，认证用户未上线时该策略不会生效，认证用户上线后才会生效。
外网ip对象不存在：说明外网ip对象被删除了，可在对象定义中添加相应的外网ip对象。

限速策略会有多条，只要保证有用的策略是生效的即可，没有用的可以忽略不理会。如果限速的策略已经生效，那么按照步骤2继续处理

2、检查策略配置是否正确

在高级流控中查看策略配置是否正确，需检查：

外网ip对象是否误选，外网ip对象是指外部的ip地址，不可选成内部的ip地址。
选择的用户是指内网用户，该用户可以是静态的用户，也可以是认证的用户，在开启web认证后需要选择认证的用户。
通道即流控通道，流控通道有限速的参数，参数要设置正确，选择的通道也要选择正确。
选择应用时系统可能会有推荐选择的应用，建议按照系统提示进行选择，流控效果会更好。
步骤2：检查应用选择和应用识别
每款软件，其产生的流量可能会含有多种应用特征，比如开启迅雷进行下载，识别出的应用类型有p2p-HTTP下载和迅雷|迅雷看看（如图1，根据下载资源不同，可能每次识别的结果不一样），如果要对迅雷有效限速，在设置策略的时候选择应用类型为P2P应用软件（包含p2p-HTTP下载和迅雷|迅雷看看）。有的软件产生的流量特征则比较单一，限制时只需选择一种应用即可。
因此如果发现某款软件限速限不准时，需检查应用类型选择是否完整，应用识别结果是否正确。
图1
1、检查限速策略选择的应用类型是否完整
设置限速策略之后如果发现效果不理想，通过查看用户的流量明细，了解应用识别结果，来完善限速策略的设置。
比如限制迅雷下载时，只限制了迅雷|迅雷看看（图2），限制为300kbps，但是使用迅雷进行下载时速度超过300kbps，如图3。在流量监控中查看用户（开启了迅雷下载）的流量明细，图中用户的迅雷|迅雷看看流量成功被限速了，但是流量中还有p2p-HTTP下载，说明迅雷软件产生的下载流量不只一种类型，含有p2p-HTTP下载和迅雷|迅雷看看（识别结果以实际环境为准，可能会是多种类型的应用），因此为了更好得限制迅雷，通常将整个P2P应用软件全部都限制效果如图4和图5。
图2
图3
图4
图5
2、检查是否所有应用都被识别成“any/any”类型的应用
如果查看应用识别时，出现any/any类型的应用，则说明没有开启应用识别，因此在命令行下sh run检查是否配置了如下两条命令，如果没有，请配置上去。
layer23 classify enable
identify-application enable
3、检查应用识别是否正确
比如用户电脑上运行的是新版本的QQ软件，但在应用明细里看到被识别成了阿里旺旺客户端。这种是误识别导致的，应用识别是基于应用分类库进行识别的，当应用分类库更新落后于网络中的各软件的更新速度时，可能会存在识别上偏差。如果发现应用识别错误的现象，请先检查更新库文件，如图6，若升级到最新版本后还是识别错误，请收集信息联系4008111000.
图6
步骤3：检查流量是否匹配流控通道
流量只有进入到正确的流控通道中才会有正确的限速效果。当定义的策略较少时可以直接从配置的策略推断流量匹配到什么限速通道，如果定义的策略较多，无法推断流量匹配到什么限速通道时，则需要通过命令行的方式准确定位匹配到的限速通道。
命令行如何确认流量进入什么通道，例如查询P2P——http视频进入什么流控通道具体步骤如下（过程较复杂）：
1、首先获取该应用的特征id
在命令行下执行show id 命令查看应用所对应的id号，如图1，P2P-HTTP视频下载的特征id好是5-51-0-0
图1
2、查询该应用的流表条目。
每条流都有应用特征，通过show ip fpm pri num命令可以查询属于同一种应用特征的都有哪些流条目。
如图2，使用命令show ip fpm pri 7 | in 5-51-0-0 查询P2P-HTTP下载的所有流表，从中挑选某条流查询匹配到哪个通道。
图2
注意：该查询命令只适用于4B8版本，对于不通型号num不一样，EG1000C的命令num为7，NBR1300G,EG1000S和NPE60E是num 11。
3、查询流表匹配的流控规则
每条流都会匹配到某条流控规则中，使用命令show ip fpm pri 0 查询某条流匹配到什么流控规则。如图3，查询图2中P2P-HTTP下载的某条流183.203.12.11：80匹配什么流控规则，图3显示该流命中了流控策略为10，编号为998的规则。
图3
4、查看流控规则
在命令行下查看流控规则。使用命令show flow-control-policy group 查看流控规则列表，从中找出图3中编号为10所对应的流控策略组名为Gi0/5。
在命令下show flow-control Gi0/5查看流控策略，如图5，从上述判断P2P-HTTP下载命中规则998，该规则说明P2P-HTTP下载进入unkey通道，unkey通道限定了每个用户最大带宽为1500kbps。
定位出所匹配的规则之后，如果匹配是错误的，那么可通过两种方式使其匹配正确
1)、调整流控顺序：在流控策略高级配置页面中调整顺序，将应该匹配的策略调整到图5中的“区分抑制应用组流量”之前。
2)、重新定义策略：可能是因为策略的对象选择错误导致匹配错误，可通过重新定义策略解决。
定位出所匹配的规则之后，如果匹配没有错误，检查规则设置也是正确的，那么转步骤4处理。
图4
图5
步骤4：检查多条线路的流控策略
EG的流控都是基于外网口的，当存在多条线路时，流控的效果是累加的，也就是一条线路上限制是1M，另外一条线限制也是1M，则该用户整体能够达到2M。因此需要检查各线路是否都做了流控。避免有的线路有配置流控策略，有的线路没有配置，导致限速效果不稳定。
在流控高级中选择各条线路，查看流控策略是否两边都做了。

步骤5：收集信息后，请联系4008111000协助处理：

如通过上述故障处理步骤无法解决您的故障，请按照如下步骤收集信息，并联系锐捷技术支持热线4008111000或者在线客服webchat.ruijie.com.cn，以便我们能够快速定位问题。

需要收集的信息：

详细描述故障现象（什么时间，什么地点，执行什么操作，出现什么现象）

故障现象截图

收集拓扑图（内外网拓扑）

show run

show ver

sh flowrate ip-application global ip

sh ip fpm pri 0 | in

sh ip fpm pri 11 | in

show id ver

sh flow-control-policy group

sh flow-control-policy rule

show log

需要收集的信息解释：

show run：收集配置信息

show ver：收集版本信息

sh flowrate ip-application global ip x.x.x.x x.x.x.x为测试pc的ip地址：在测试pc上开启限速不准的应用收集流量信息

sh ip fpm pri 0 | in x.x.x.x：在测试pc上开启限速不准的应用，收集流控信息，x.x.x.x是测试的pc的ip地址，不能是接口公网地址，否则会打印很多内容，可能导致控制台print进程高。

sh ip fpm pri 11 | in x.x.x.x ：在测试pc上开启限速不准的应用，收集应用识别信息如果收集不到，改用sh ip fpm pri 7 | in x.x.x.x 进行收集。 x.x.x.x是测试pc的ip地址，不能是接口公网地址，否则会打印很多内容，可能导致控制台print进程高。

show id ver：收集特征库版本信息

sh flow-control-policy group 收集流控信息；

sh flow-control-policy rule：收集流控信息

show log：收集日志信息