交换机端口限速总结可限速的交换机一般都在三层或者以上的交换机，自2008年之后新出的交换机型号二层设备就可以做到QOS限速，精确度达到1Mbps，例如Cisco2960系列交换机。

在这之后的大多数国内的标准二层交换机都可以做多限速，精确度基本能达到1Mbps，比如中兴的标准二层，H3C的标准二层都可以做到。

老式的CISCO标准二层交换机例如2950类的交换也可以做到限速，但是精确度只能达到10Mbps。

2950G 的交换和2950为EI型的交换没有太大的限速区别，因为限速和IOS有关系，2950系列的交换IOS版本一般都是在9.0左右，最新的2960系列交换机IOS版本在12.2左右，高版本的IOS提供了更强的系统功能。

下面针对一些限速的方法进行总结：PC1接在Cisco3550F0/1上，速率为1M;PC1接在Cisco3550F0/2上，速率为2M;Cisco3550的G0/1为出口。

PC是直接接在三层交换机端口的，意思就是说限制的是三层交换机端口的上下行流量控制，同理，如果三层交换机端口不是接PC，而是一个二层交换机，那么可以对下层的设备进行上联限速。

注:每个接口每个方向只支持一个策略;一个策略可以用于多个接口。

因此所有PC的下载速率的限制都应该定义。

在同一个策略(在本例子当中为policy-map user-down)，而PC不同速率的区分是在Class-map分别定义。

1、在交换机上启动QOSSwitch(config)#mls qos//在交换机上启动QOS2、分别定义PC1(10.10.1.1)和PC2(10.10.2.1)访问控制列表Switch(config)#access-list10permit10.10.1.00.0.0.255//控制pc1上行流量Switch(config)#access-list100permit any10.10.1.00.0.0.255//控制pc1下行流量Switch(config)#access-list11permit10.10.2.00.0.0.255//控制pc2上行流量Switch(config)#access-list111permit any10.10.2.00.0.0.255//控制pc2下行流量3、定义类，并和上面定义的访问控制列表绑定Switch(config)#class-map user1-up//定义PC1上行的类，并绑定访问列表10Switch(config-cmap)#match access-group10Switch(config-cmap)#exitSwitch(config)#class-map user2-upSwitch(config-cmap)#match access-group11//定义PC2上行的类，并绑定访问列表10 Switch(config-cmap)#exitSwitch(config)#class-map user1-downSwitch(config-cmap)#match access-group100//定义PC1下行的类，并绑定访问列表100 Switch(config-cmap)#exitSwitch(config)#class-map user2-downSwitch(config-cmap)#match access-group111//定义PC2下行的类，并绑定访问列表111 Switch(config-cmap)#exit4、定义策略，把上面定义的类绑定到该策略Switch(config)#policy-map user1-up//定义PC1上行的速率为1MSwitch(config-pmap)#class user1-upSwitch(config-pmap-c)#trust dscpSwitch(config-pmap-c)#police10240001024000exceed-action dropSwitch(config)#policy-map user2-up//定义PC2上行的速率为2MSwitch(config-pmap)#class user2-upSwitch(config-pmap-c)#trust dscpSwitch(config)#policy-map user-down//定义PC1下行的速率为1MSwitch(config-pmap)#class user1-downSwitch(config-pmap-c)#trust dscpSwitch(config-pmap-c)#police10240001024000exceed-action dropSwitch(config-pmap-c)#exitSwitch(config-pmap)#class user2-down//定义PC2下行的速率为2MSwitch(config-pmap-c)#trust dscpSwitch(config-pmap-c)#police20480001024000exceed-action dropSwitch(config-pmap-c)#exit5、在接口上运用策略Switch(config)#interface f0/1//进入PC1端口上联交换机端口配置模式Switch(config-if)#service-policy input user1-up//绑定PC1上行策略为user1-upSwitch(config)#interface f0/2//进入PC2端口上联交换机端口配置模式Switch(config-if)#service-policy input user2-up//绑定PC2上行策略为user2-upSwitch(config)#interface g0/1//进入交换机上联千兆端口配置模式Switch(config-if)#service-policy input user-down//绑定交换机上联端口策略为user-down利用三层交换中的strom-control（风暴控制）功能，该功能是基于端口控制单播\多播\组播,可以精确到0.01%，但是一个近似值。

此方法是一个门限方式，限制监控时间为每秒，超过设置的门限便丢弃包，并且用户是不知情的，以为是网络终端，或者远程无响应，显然这种方式不能确保终端用户每时每刻的网络畅通，所以本人认为此方法只适用于某些场合，或者和其它策略配合使用。

具体配置方法：Switch(config)#interface f0/1//进入交换机端口配置模式Switch(config-if)#strom-control unicast/broadcast/multi level10//该port带宽的10%理解风暴控制风暴控制防止交换机的端口被局域网中的广播、多播或者一个物理端口上的单播风暴所破坏。

局域网风暴发生在包在局域网中泛洪，建立的过多的流量并丧失了网络性能。

协议栈中的错误或者网络配置上的错误可以导致风暴。

风暴控制(或者叫流量压制)管理进栈的流量状态，通过一段时间和对比测量带有预先设定的压制级别门限值的方法来管理。

门限值表现为该端口总的可用带宽的百分比。

交换机支持单独的风暴控制门限给广播、组播和单播。

如果流量类型的门限值达到了，更多这种类型的流量就会受到压制，直到进栈流量下降到门限值级别以下。

注意：当组播的速度超出一组门限，所有的进站流量(广播组播单播)都会被丢弃，直到级别下降到门限级别以下。

只有stp的包会被转发。

当广播和单播门限超出的时候，只有超出门限的流量会被封闭。

当风暴控制开启了时，交换机监视通过接口的包来交换总线和决定这个包是单播，组播还是广播。

交换机监视广播组播和单播的数目，每1秒钟一次，并且当某种类型流量的门限值到达了，这种流量就会被丢弃了。

这个门限以可被广播使用的总的可用带宽的百分比被指定。

以下是一个接口上的一段时间内的广播流量的模型曲线图。

这个例子也可被组播和单播流量套用。

在这个例子中，广播流量在T1-T2、T4-T5时间之间被转发超过配置门限值所有的该种流量都在下一个时间被丢弃。

因此广播流量在T2和T5时间内是被封闭的。

在下一个时断，T3，如果广播流量没有超出限制，那么它又被转发了。

风暴控制算法的工作是风暴控制抑制级别和每秒钟间隔控制的结合。

一个更高的门限允许更多的包通过。

如果把门限值设置成100%意味着将不会限制所有任何的流量。

0%意味着所有的广播组播和单播流量都会被封闭。

注意：因为包不会在统一时间间隔内到达，每秒钟间隔间如果没有流量会影响风暴控制。

交换机持续监视端口的流量，而且当利用级别降到门限以下，这种被丢弃类型的流量，又会被再次转发。

你可以使用storm-control接口命令来设定门限值给每一种类型的流量。

默认的风暴控制配置：默认地，单播组播广播的风暴控制都是在交换机上关闭的，意味着：压制级别都是100%。

开启风暴控制：你在接口开启风暴控制，并输入总可用带宽的百分比来确定你要使用给该种流量；输入100%会允许所有流量。

然而，因为硬件的限制以及包大小的不同的会导致偏差，门限值百分比是一个近似值。

注意：风暴控制仅支持在物理端口下使用；它不支持以太通道下使用，尽管能敲进去。

以下例子在f0/17下把组播风暴级别限制在70.5%Switch#configure terminalSwitch(config)#interface fastethernet0/17Switch(config-if)#storm-control multicast level70.5//限制组播类型的包Switch(config-if)#endSwitch#show storm-control fastethernet0/17multicastInterface Filter State Level Current------------------------------------Fa0/17Forwarding70.50%0.00%这个是关闭风暴控制Switch#configure terminalSwitch(config)#interface fastethernet0/17Switch(config-if)#no storm-control multicast levelSwitch(config-if)#endSwitch#show storm-control fastethernet0/17multicastInterface Filter State Level Current------------------------------------CISCO3550-QOS的-接口限速Building configuration...Current configuration:3123bytesversion12.1no service padservice timestamps debug uptimeservice timestamps log datetime localtimeno service password-encryptionhostname shangwuenable secret5$1$PmhU$dlsphRGumA1simUEIA87j0 enable passwordip subnet-zeromls qosclass-map match-all user1-upmatch access-group10class-map match-all user1-downmatch access-group100policy-map user1-upclass user1-uppolice800000800000exceed-action droptrust dscpspanning-tree extend system-idinterface FastEthernet0/1no ip addressinterface FastEthernet0/2 no ip addressduplex fullspeed100interface FastEthernet0/3 no ip addressduplex fullspeed100interface FastEthernet0/4 no ip addressduplex fullspeed100interface FastEthernet0/5 no ip addressduplex fullspeed100interface FastEthernet0/6 no ip addressduplex fullspeed100interface FastEthernet0/7speed100interface FastEthernet0/8 no ip addressduplex fullspeed100interface FastEthernet0/9 no ip addressduplex fullspeed100interface FastEthernet0/10 no ip addressduplex fullspeed100interface FastEthernet0/11 no ip addressduplex fullspeed100interface FastEthernet0/12 no ip addressduplex fullspeed100service-policy input user1-up interface FastEthernet0/14 no ip addressduplex fullspeed100service-policy input user1-up interface FastEthernet0/15 no ip addressduplex fullspeed100service-policy input user1-up interface FastEthernet0/16 no ip addressduplex fullspeed100service-policy input user1-up interface FastEthernet0/17 no ip addressduplex fullspeed100service-policy input user1-upduplex fullspeed100service-policy input user1-up interface FastEthernet0/19 no ip addressduplex fullspeed100service-policy input user1-up interface FastEthernet0/20 no ip addressduplex fullspeed100service-policy input user1-up interface FastEthernet0/21 no ip addressduplex fullservice-policy input user1-up interface FastEthernet0/22 no ip addressduplex fullspeed100interface FastEthernet0/23no ip addressduplex fullspeed100service-policy input user1-upinterface FastEthernet0/24description wan interfaceswitchport mode accessno ip addressduplex fullspeed100interface GigabitEthernet0/1no ip addressinterface GigabitEthernet0/2no ip addressinterface Vlan1ip address********255.255.255.0ip default-gateway********ip classlessip http serverlogging trap debugginglogging source-interface FastEthernet0/24 logging***********access-list10permit*********.00.0.0.255access-list100permit ip any********.00.0.0.255line con0exec-timeout00line vty04passwordloginline vty515passwordloginend交换机的主机名、进入enable模式的密码、远程登陆的用户名和密码及设置、管理vlan的IP地址、交换机的默认网关、交换机的端口、SNMP服务、交换机时间设置等。