6-1 QoS配置

Transcription

1 目录 目录 第 1 章 配置 简介 引言 术语和概念 配置 服务参数分配规则配置 流量监管 流量整形 优先级标记配置 报文重定向配置 队列调度配置 拥塞避免配置 流镜像配置 端口镜像配置 流量统计配置 的显示和调试 配置举例 流量监管配置举例 流量整形配置举例 端口镜像配置举例 优先级标记配置举例 报文重定向配置举例之一 报文重定向配置举例之二 队列调度配置举例 拥塞避免配置举例 流量统计配置举例 第 2 章端口令牌配置 端口令牌配置简介 配置端口和端口队列的令牌数 配置准备 配置令牌数目 端口令牌配置举例 第 3 章 WAN- 配置 WAN- 简介 WAN- 配置 i

2 目录 3.3 WAN- 配置举例 第 4 章配置登录用户的 ACL 控制 配置登录用户的 ACL 控制简介 配置对 Telnet/SSH 用户的 ACL 控制 配置准备 配置过程 二层 ACL 控制配置举例 基本 ACL 控制配置举例 对通过 SNMP 访问交换机的用户的 ACL 控制 配置准备 配置过程 对通过 SNMP 访问交换机的用户的 ACL 控制配置举例 第 5 章 VLAN-ACL 配置 VLAN-ACL 简介 VLAN-ACL 配置 配置准备 VLAN-ACL 配置过程 VLAN-ACL 配置举例 VLAN-ACL 报文重定向配置举例 VLAN-ACL 流量监管配置举例 第 6 章 EACL 配置 EACL 简介 EACL 配置 配置 EACL-BT 限流 配置 EACL- 自反 ACL EACL- 出口 EACL 的配置过程 EACL- 入口 EACL 的配置过程 EACL 的配置举例 自反 ACL 配置举例 EACL BT 限流配置举例 第 7 章全局 ACL 配置 全局 ACL 简介 全局 ACL 配置 全局 ACL 配置举例 第 8 章 WAN-ACL 配置 WAN-ACL 简介 WAN-ACL 配置 ii

3 目录 8.3 WAN-ACL 配置举例 iii

4 第 1 章 配置 第 1 章 配置 下表列出了本章所包含的内容 如果您需要 了解 Qos 的基本原理和概念 了解 Qos 的配置任务及配置过程 显示配置后 的运行情况以及通过查看显示信息验证配置的效果 配置举例 请阅读 简介 配置 的显示和调试 配置举例 1.1 简介 引言传统的分组网络对所有报文都无区别的等同对待 每个交换机 / 路由器对所有的报文采用先入先出 (FIFO) 的策略处理, 尽最大的努力 (Best-Effort) 将报文送到目的地, 但对报文传送的延时 延时抖动等传输性能不提供任何承诺和保证 随着计算机网络的高速发展, 对带宽 延迟 抖动敏感的语音 图像等重要数据越来越多地在网上传输 一方面, 使得网上的业务资源极大地丰富, 另一方面, 则对网络传输的 (Quality of Service, 服务质量 ) 提出了更高的要求 以太网技术是当今被广泛使用的网络技术 目前, 以太网不但成为各种独立的局域网中的主导技术, 而且, 许多以太网形式的局域网也成为了 Internet 的组成部分 随着以太网技术的不断发展, 以太网接入方式也将成为普通 Internet 用户主要的接入方式之一 因此, 要实现端到端的全网 解决方案, 不可避免地要考虑以太网上的 业务保证问题 这就需要以太网交换设备能够应用以太网 技术, 对不同类型的业务流 ( 尤其是那些对延时和抖动要求较高的业务流 ) 提供不同等级的 保证 术语和概念 1. 流指所有通过交换机的报文 2. 流分类流分类 (Traffic Classification) 是指采用一定的分类规则识别出符合某类特征的报 1-1

5 第 1 章 配置 文 分类规则 (Classification Rule) 是指管理员根据管理需求配置的过滤规则 分类规则可以很简单, 比如可根据 IP 报文头的 ToS 字段, 识别出有不同优先级特征的流量 ; 也可以很复杂, 如综合链路层 (Layer 2) 网络层(Layer 3) 传输层(Layer 4) 信息 (MAC 地址 IP 协议 源地址 目的地址 或应用程序的端口号等 ) 来对报文进行分类 一般的分类依据都局限在封装报文的头部信息, 使用报文的内容作为分类的标准比较少见 3. 包过滤包过滤就是对业务流进行过滤操作 例如丢弃操作 (deny), 该操作将匹配流分类规则的业务流丢弃, 而允许其他所有流量通过 以太网交换机采用了复杂的流分类规则, 这样可以有针对性的对业务流进行过滤, 丢弃那些无用的 不可靠 值得怀疑的业务流, 从而增强网络的安全性 实现包过滤, 有两个关键的环节 : 对进入端口的流量按既定的规则进行流分类 ; 对区分出来的流进行过滤操作 ( 允许通过或丢弃 ) permit 为缺省的访问控制操作 4. 流量监管为了使有限的网络资源可以更好地为用户服务, 在输入端口上可以对特定用户的业务流进行流量监管, 使之适应分配给它的那部分网络资源 5. 重定向用户可以基于自身 策略的需要, 重新指定报文的转发方向 6. 优先级标记以太网交换机可为特定报文提供优先级标记的服务, 标记内容包括 TOS DSCP 802.1p 等, 这些优先级标记分别适用于不同的 模型, 在不同的模型中被定义 下面介绍一下 IP 优先级 TOS 优先级 DSCP 优先级 EXP 优先级和 802.1p 优先级 (1) IP 优先级 TOS 优先级 DSCP 优先级和 EXP 优先级 1-2

6 第 1 章 配置 图 1-1 DS 域和 ToS 字节 如图 1-1 所示,IP header 的 TOS 字段有 8 个 bit, 其中前 3 个 bit 表示的就是 IP 优先级, 取值范围为 0~7; 第 3~6 这 4 个 bit 表示的是 TOS 优先级, 取值范围为 0~15; 在 RFC2474 中, 重新定义了 IP 报文头部的 TOS 域, 称之为 DS 域, 其中 DSCP 优先级用该域的前 6 位 (0~5 位 ) 表示, 取值范围为 0~63, 后 2 位 (6 7 位 ) 是保留位 ; EXP 优先级存在于 MPLS 头内, 在系统中为 DSCP 优先级的前 3 位 (0~2 位 ) 映射所得, 取值范围为 0~7 (2) 802.1p 优先级 802.1p 优先级位于二层报文头部, 适用于不需要分析三层报头, 而需要在二层上保证 的场合 图 1-2 带有 802.1Q 标签头的以太网帧 如图 1-2 所示, 每一个支持 802.1Q 协议的主机, 在发送数据包时, 都在原来的以太网帧头中的源地址后增加了一个 4 字节的 802.1Q 标签头 这 4 个字节的 802.1Q 标签头包含了 2 个字节的 TPID(Tag Protocol Identifier, 标签协议标识 ) 和 2 个字节的 TCL(Tag Control Information, 标签控制信息 ) TPID 是 IEEE 定义的新的类型, 表明这是一个加了 802.1Q 标签的报文, 缺省值为 0x8100; TCI 由 User Priority CFI 以及 VLAN ID 组成 其中 User Priority 字段就是 802.1p 优先级, 它由 3 个 bit 组成, 取值范围为 0~7 这 3 位指明帧的优先级 一共有 8 种优先级, 主要用于决定当交换机阻塞时, 优先发送哪个数据包 之所以称此优先级为 802.1p 优先级, 是因为有关这些优先级的应用是在 802.1p 规范中被详细定义 1-3

7 第 1 章 配置 7. 队列调度当网络拥塞时, 必须解决多个报文同时竞争使用资源的问题, 通常采用队列调度加以解决 下面分别介绍几种队列调度算法 :SP(Strict-Priority, 严格优先级 ) 队列调度算法 WRR(Weighted Round Robin, 加权轮循 ) 调度算法 (1) SP 调度算法 图 1-3 优先队列示意图 SP 队列调度算法, 是针对关键业务型应用设计的 关键业务有一重要的特点, 即在拥塞发生时要求优先获得服务, 减小响应的延迟 以端口有 8 个输出队列为例, 优先队列将端口的 8 个输出队列分成 8 类, 依次为 队列, 它们的优先级依次降低 在队列调度时,SP 严格按照优先级从高到低的次序, 优先发送较高优先级队列中的分组, 当高优先级队列为空时, 再发送较低优先级队列中的分组 这样, 将关键业务的分组放入高优先级的队列, 将非关键业务 ( 如 ) 的分组放入较低优先级的队列, 可以保证关键业务的分组被优先传送, 非关键业务的分组在空闲间隙被传送 SP 的缺点是 : 拥塞发生时, 如果较高优先级队列中长时间有分组存在, 那么低优先级队列中的报文就会由于得不到服务而 饿死 (2) WRR 调度算法交换机的端口一般支持 8 个输出队列 (GV48D GP48D 和 XP4 非线速单板只支持 4 个输出队列 ),WRR 队列调度算法在队列之间进行轮流调度, 保证每个队列都得到一定的服务时间 1-4

8 第 1 章 配置 以端口有 8 个优先级队列为例 WRR 可为每个队列配置一个加权值 ( 依次为 w7 w6 w5 w4 w3 w2 w1 w0), 加权值表示获取资源的比重 如一个 100M 的端口, 配置它的 WRR 队列调度算法的加权值为 ( 依次对应 w7 w6 w5 w4 w3 w2 w1 w0), 这样可以保证最低优先级队列至少获得 5Mbit/s 带宽, 避免了采用 SP 调度时低优先级队列中的报文可能长时间得不到服务的缺点 WRR 队列还有一个优点是, 虽然多个队列的调度是轮询进行的, 但对每个队列不是固定地分配服务时间片 如果某个队列为空, 那么马上换到下一个队列调度, 这样带宽资源可以得到充分的利用 8. 流镜像流镜像, 即将指定的数据包复制到 CPU 端口或者 NetSrteam 单板, 用于报文的分析和监视 9. 端口镜像端口镜像, 即将指定端口的数据包复制到监控端口, 以进行网络检测和故障排除 10. 基于流的流量统计基于流的流量统计, 针对用户感兴趣的报文作统计分析 1.2 配置 配置包括 : 服务参数分配规则配置 流量监管 流量整形 优先级标记配置 报文重定向配置 队列调度配置 拥塞避免配置 流镜像配置 端口镜像配置 流量统计配置 1-5

9 第 1 章 配置 说明 : 用户在进行以上的 配置之前, 必须首先定义相应的访问控制列表 包过滤配置通过激活相应的访问控制列表就可以实现, 请参见 ACL 分册 中的 ACL 配置 用户进行 配置时 ( 包括包过滤 流量监管 优先级标记 报文重定向 流镜像 流量统计六个动作 ), 如果指定的高级 ACL 已被 IDS 使用, 动作将不能正常下发 XP4B XP4CA 单板有 4 个端口, 对应端口号 0~3,0~3 均支持队列调度配置, 但是只支持 0~3 共四个队列 对 XP4B XP4CA 单板进行用户定义流模板下发 端口本地优先级 包过滤 优先级标记 流量监管 重定向配置 流镜像 流量统计的设置时, 只能在 0 和 2 号端口上配置 当在 0 号端口上配置时,0~1 号端口同时生效, 当 2 号端口配置时,2~3 号端口同时生效 对 XP4B XP4CA 单板配置流量监管时,0~1 号端口占用同一带宽,2~3 号端口占用同一带宽, 即 0~1 号端口共享 0 号端口下配置的流量参数,2~3 号端口共享 2 号端口下配置的流量参数 在 XP4B XP4CA 单板端口 0 上执行 traffic-statistic 命令统计的是 0 和 1 端口上的流量统计信息 ; 在端口 2 上执行 traffic-statistic 命令统计的是 2 和 3 端口上的流量统计信息 XP4B XP4CA 单板端口不支持流量整形 (traffic-shape) 注意 : 业务处理板 ( 本文中主要指 LSB1NATB0 板 ) 采用的 配置命令与普通接口板有所不同, 请用户注意手册中的相关说明 目前 S9500 支持的业务处理板无出接口, 因此不支持以太网端口视图下的配置命令 业务处理板不支持二层访问控制列表 交换机的 功能比较复杂, 在具体的描述中会用到许多特定的术语 这里对这些名词作一下简要的说明 表 1-1 的术语 术语 说明 CoS 服务参数 802.1p 优先级, 二者含义相同, 都是指以太网报文头部的优先级, 取值为 0~7 交换机接收到报文时为报文分配的一组参数, 这组参数在交换机实现 功能时使用 报文的服务参数包含四项内容 :802.1p 优先级 DSCP 优先级 本地优先级 丢弃级别 1-6

10 第 1 章 配置 术语 Drop-precedence Conform-Level 说明 丢弃级别, 也称丢弃优先级 交换机服务参数中的一个参数, 取值为 0 1 或 2 交换机在接收报文的时候就会给报文分配丢弃级别 交换机在对报文进行处理时可以修改报文的丢弃级别 为报文分配丢弃级别也称为报文着色, 丢弃级别为 2 的报文为红色报文,1 为黄色报文,0 为绿色报文 丢弃级别主要在发生拥塞后交换机需要丢弃报文时使用 遵守级别, 是交换机进行流量监管操作时根据用户配置的承诺平均速率 承诺突发尺寸 最大突发尺寸 峰值速率和端口的实际流量计算得出的结果, 取值为 这个参数主要用在使用 traffic-limit 命令进行流量监管的同时选择重新标记服务参数选项, 如 remark-cos,remark-drop 等, 不同遵守级别的报文会查询不同的映射表 : 对流量小于 cir 的报文分配 conform-level 0, 流量大于 cir 小于 pir 的报文分配 conform-level 1, 流量大于 pir 的报文分配 conform-level 2 在使用 traffic-priority 命令进行优先级标记操作时也用到 DSCP+Conform-Level > 服务参数 映射表为报文重新分配服务参数, 这个映射表是 Conform-Level 取值为 0 时的映射表 服务参数分配规则配置 是建立在服务参数的基础上的 服务参数是一套 相关的参数, 包括 802.1p 优先级 (CoS 优先级 ) DSCP 优先级 EXP 优先级 本地优先级 ( 交换机为报文分配的一种具有本地意义的优先级 ) 丢弃级别 交换机在接收到报文之后, 会参考一定的规则自动给报文分配一套服务参数 首先交换机会根据报文的 802.1p 优先级查找下面的映射表来获取报文的丢弃级别和本地优先级 : CoS >Drop-precedence 映射表和 CoS >Local-precedence 映射表 交换机提供这些映射表的缺省取值 用户可以根据需要重新配置这些映射表 如果没有成功为报文分配到本地优先级, 交换机就会使用报文接收端口的优先级查 CoS >Local-precedence 映射表得到报文的本地优先级 通过反查缺省 CoS > Local-precedence 映射表来获取 CoS 值, 再利用 CoS > Drop-precedence 映射表来获取报文丢弃优先级 说明 : 端口下不配置 priority 命令 ( 即使用默认的 priority 0) 时, 所有通过该端口的 Tag 报文不会根据 Tag 中的 802.1p 优先级映射本地优先级 当端口下配置 priority 命令且参数不为 0 或使用 traffic-priority 命令对报文进行优先级标记时, 所有通过该端口的 Tag 报文会根据 Tag 中的 802.1p 优先级映射本地优先级 当用户修改了 CoS >Local-precedence 映射关系后, 对于 untag 报文, 需要在端口上重新配置端口的本地优先级后, 用户配置的 CoS > Local-precedence 映射关系才会生效 1-7

11 第 1 章 配置 1. 配置映射表可以使用下面的命令配置这些映射表 请在系统视图下进行下列操作 表 1-2 映射表配置 操作 配置 CoS > Drop-precedence 映射表 恢复 CoS > Drop-precedence 映射表为缺省值 配置 CoS > Local-precedence 映射表 恢复 CoS > Local-precedence 映射表为缺省值 命令 qos cos-drop-precedence-map cos0-map-drop-prec cos1-map-drop-prec cos2-map-drop-prec cos3-map-drop-prec cos4-map-drop-prec cos5-map-drop-prec cos6-map-drop-prec cos7-map-drop-prec undo qos cos-drop-precedence-map qos cos-local-precedence-map cos0-map-local-prec cos1-map-local-prec cos2-map-local-prec cos3-map-local-prec cos4-map-local-prec cos5-map-local-prec cos6-map-local-prec cos7-map-local-prec undo qos cos-local-precedence-map 缺省情况下, 交换机使用缺省的映射关系为接收到的报文分配丢弃级别和本地优先级 2. 配置本地优先级请在以太网端口视图下进行下列操作 表 1-3 端口的优先级配置 操作 配置端口的本地优先级 恢复端口的本地优先级为缺省值 priority priority-level undo priority 命令 流量监管流量监管是基于流的速率限制 它监督某一流量的速率 如果流量超出指定的规格, 交换机就采用相应的措施, 如丢弃那些超出规格的报文或重新设置它们的服务参数 在交换机的流量监管动作中包括了根据 DSCP+Conform-Level > 服务参数 映射表和 EXP+Conform-Level > 服务参数 映射表来重新分配流的服务参数 根据 Local-precedence +Conform-Level >802.1p 优先级 映射表来重新分配流的 1-8

12 第 1 章 配置 802.1p 优先级等 所以用户需要根据实际情况来配置这三个映射表或者使用映射表的缺省值 1. 配置映射表可以使用下面的命令来配置 DSCP+Conform-Level > 服务参数 映射表 EXP+Conform-Level > 服务参数 映射表和 Local-precedence+Conform- Level >802.1p 优先级 映射表 请在系统视图下开始下列配置 表 1-4 映射表配置 操作 在系统视图下进行配置 : 进入遵守级别视图 在遵守级别视图下进行配置 : 配置 DSCP+Conform-Level > 服务参数 映射表 在遵守级别视图下进行配置 : 恢复当前的遵守级别的 DSCP + Conform-level > 服务参数 映射表为缺省值 在遵守级别视图下进行配置 : 配置 EXP+Conform-Level > 服务参数 映射表 在遵守级别视图下进行配置 : 恢复当前的遵守级别的 EXP + Conform-level > 服务参数 映射表为缺省值 在遵守级别视图下进行配置 : 配置 Local-precedence +Conform-Level > 802.1p 优先级 映射表 在遵守级别视图下进行配置 : 恢复当前的遵守级别的 Local-precedence + Conform-level >802.1p 优先级 映射表为缺省值 命令 qos conform-level conform-level-value dscp dscp-list : dscp-value exp-value cos-value local-precedence-value drop-precedence undo dscp dscp-list exp exp-list : dscp-value exp-value cos-value local-precedence-value drop-precedence undo exp exp-list local-precedence cos-value0 cos-value1 cos-value2 cos-value3 cos-value4 cos-value5 cos-value6 cos-value7 undo local-precedence 缺省情况下, 系统提供缺省的映射表 2. 配置流量参数 ( 可选 ) 以下命令用来设定业务处理板上配置流量监管所需的流量参数 注意 : 在普通接口板上配置流量监管无需此步操作 请在系统视图下进行下列配置 1-9

13 第 1 章 配置 表 1-5 流量参数配置 操作 配置流量参数 命令 traffic-params traffic-index cir committed-info-rate cbs committed-base-size ebs exceed-base-size [ pir peak-info-rate ] 3. 配置流量监管可以使用下面的命令来配置流量监管 本配置任务的目的是对匹配访问控制列表的数据流实现流量监管 : 对在流量限制之内的数据流采取相应的动作, 对超过设定流量的数据流采取另外的动作, 如丢弃报文 对普通接口板, 请在以太网端口视图下进行下列配置 表 1-6 流量监管配置 操作 基于三层流的流量监管配置 取消基于三层流的流量监管配置 同时基于二层和三层流的流量监管配置 取消基于二层和三层流的流量监管配置 基于二层流的流量监管配置 取消基于二层流的流量监管配置 命令 traffic-limit inbound ip-group { acl-number acl-name } [ rule rule [ system-index index ] ] [ tc-index index ] cir cbs ebs [ pir ] [ conform { { remark-cos remark-drop-priority } * remark-policed-service } ] [ exceed { forward drop } ] undo traffic-limit inbound ip-group { acl-number acl-name } [ rule rule ] traffic-limit inbound ip-group { acl-number acl-name } { rule rule link-group { acl-number acl-name } [ rule rule [ system-index index ] ] link-group { acl-number acl-name } rule rule } [ tc-index index ] cir cbs ebs [ pir ] [ conform { { remark-cos remark-drop-priority } * remark-policed-service } ] [ exceed { forward drop } ] undo traffic-limit inbound ip-group { acl-number acl-name } { rule rule link-group { acl-number acl-name } [ rule rule ] link-group { acl-number acl-name } rule rule } traffic-limit inbound link-group { acl-number acl-name } [ rule rule [ system-index index ] ] [ tc-index index ] cir cbs ebs [ pir ] [ conform { { remark-cos remark-drop-priority } * remark-policed-service } ] [ exceed { forward drop } ] undo traffic-limit inbound link-group { acl-number acl-name } [ rule rule ] 说明 : 在参数设定时, 要求 cir<=pir,cbs<=ebs 建议将 cbs ebs 设成 cir 的 100~150 倍 对业务处理板, 请在 VLAN 视图下进行下列配置 1-10

14 第 1 章 配置 表 1-7 流量监管配置 操作 基于三层流的流量监管配置 取消基于三层流的流量监管配置 命令 traffic-limit inbound ip-group { acl-number acl-name } [ rule rule [ system-index index ] ] traffic-index index { conform { remark-cos remark-policed-service } exceed { forward drop } } slot slot-id undo traffic-limit inbound ip-group { acl-number acl-name } [ rule rule ] slot slot-id 注意 : 在业务处理板上配置 traffic-limit 命令前必须先在端口视图下配置报文重定向, 将指定 VLAN 内的报文重定向到业务处理板 在配置流量监管之前一定要先定义相应的访问控制列表, 同时根据需要配置好 DSCP+Conform-Level > 服务参数 映射表和 Local-precedence +Conform-Level >802.1p 优先级 映射表 system-index index 参数是访问控制列表规则的系统索引值 系统下发一条规则后, 会自动给该规则分配一个全局唯一的索引值, 用于系统运行时对该规则进行检索 用户在使用本命令下发一条规则时, 也可以为该规则指定一个系统索引值, 但该值在系统运行过程中可能改变 一般情况下, 建议用户不要手动指定该参数 tc-index index 是流量调节索引值 如果用户在配置流量监管的时候, 将不同的流规则配置了相同的索引值, 则这些流的流量之和将被所配置的流量监管参数限制 比如, 匹配规则 1 的流的 cir 配置为 10kbps, 规则 2 的配置为 10kbps, 同时两个规则的流量调节索引值相同, 则匹配规则 1 的流和匹配规则 2 的流的平均速率之和将被限制为 10kbps 说明 : 用户为不同的流指定相同的 tc-index 时, 流量监管动作的参数设置必须完全一致, 否则系统将提示错误 对于后缀为 C D 类的单板, 如果配置了 remark-cos, 则 remark-drop-priority 也会生效 tc-index 参数范围是 0~12288, 其中参数 0 为系统留用, 当指定参数为 0 时, 由系统分配索引值 关于命令的详细描述请参见本章相应的命令手册 流量整形 流量整形是对输出报文的速率进行控制, 使报文以均匀的速率发送出去 流量整形通常是为了使报文速率与下游设备相匹配, 以避免不必要的报文丢弃和拥塞 它和 1-11

15 第 1 章 配置 流量监管的主要区别在于 : 流量整形是缓存超过速率限制的报文, 使报文以均匀的速率发送出去 ; 而流量监管则是丢弃超过流量速率限制的报文 但是流量整形会增加延迟, 而流量监管不会引入额外的延迟 可以使用下面的命令进行流量整形配置 请在以太网端口视图下进行下列配置 表 1-8 流量整形配置 操作 流量整形配置 命令 traffic-shape [ queue queue-id ] max-rate burst-size 取消流量整形配置 undo traffic-shape [ queue queue-id ] 交换机支持针对端口进行流量整形, 即对端口所有的流量进行流量整形, 也支持针对端口上特定输出队列的流量整形 可以通过选取不同的参数实现这两种流量整形操作 关于命令的详细描述请参见本章对应的命令手册 优先级标记配置优先级标记配置就是为匹配访问控制列表的报文重新分配一套服务参数 优先级标记配置包括如下动作 : 使用交换机自动分配的服务参数 ; 根据报文的 DSCP 值查找映射表为报文重新分配服务参数 ; 根据用户设定的 DSCP 值和 EXP 值查找映射表为报文重新分配服务参数 ; 用户自己为报文指定一套服务参数 对普通接口板, 请在以太网端口视图下进行下列配置 表 1-9 标记报文优先级 操作 对匹配三层流规则的报文进行优先级标记 取消对匹配三层流规则的报文进行优先级标记 对同时匹配二层和三层流规则的报文进行优先级标记 取消对同时匹配二层和三层流规则的报文进行优先级标记 命令 traffic-priority inbound ip-group { acl-number acl-name } [ rule rule [ system-index index ] ] { auto remark-policed-service { trust-dscp dscp dscp-value untrusted dscp dscp-value cos cos-value local-precedence local-precedence drop-priority drop-level } } undo traffic-priority inbound ip-group { acl-number acl-name } [ rule rule ] traffic-priority inbound ip-group { acl-number acl-name } { rule rule link-group { acl-number acl-name } [ rule rule [ system-index index ] ] link-group { acl-number acl-name } rule rule } { auto remark-policed-service { trust-dscp dscp dscp-value untrusted dscp dscp-value cos cos-value local-precedence local-precedence drop-priority drop-level } } undo traffic-priority inbound ip-group { acl-number acl-name } { rule rule link-group { acl-number acl-name } [ rule rule ] link-group { acl-number acl-name } rule rule } 1-12

16 第 1 章 配置 操作 对匹配二层流规则的报文进行优先级标记 取消对匹配二层流规则的报文进行优先级标记 命令 traffic-priority inbound link-group { acl-number acl-name } [ rule rule [ system-index index ] ] { auto remark-policed-service { trust-dscp dscp dscp-value untrusted dscp dscp-value cos cos-value local-precedence local-precedence drop-priority drop-level } } undo traffic-priority inbound link-group { acl-number acl-name } [ rule rule ] 对业务处理板, 请在 VLAN 视图下进行下列配置 表 1-10 标记报文优先级 操作 对匹配三层流规则的报文进行优先级标记 取消对匹配三层流规则的报文进行优先级标记 命令 traffic-priority inbound ip-group { acl-number acl-name } { rule rule { system-index index { remark-policed-service { trust-dscp dscp dscp-value untrusted dscp dscp-value cos cos-value local-precedence local-precedence drop-priority drop-level [ slot slot-id ] } auto [ slot slot-id ] } } { auto [ slot slot-id ] } { remark-policed-service { trust-dscp dscp dscp-value { untrusted dscp dscp-value cos cos-value local-precedence local-precedence drop-priority drop-level } [ slot slot-id ] } } } undo traffic-priority inbound ip-group { acl-number acl-name } [ rule rule ] [ slot slot-id ] 注意 : 在业务处理板上配置 traffic-priority 命令前必须先在端口视图下配置报文重定向, 将指定 VLAN 内的报文重定向到业务处理板 在进行优先级标记配置之前, 必须定义了相应的访问控制列表 EXP+Conform-Level > 服务参数 映射表和 DSCP+Conform-Level > 服务参数 映射表 映射表的配置请参见 流量监管 中的描述 system-index index 参数是访问控制列表规则的系统索引值 系统下发一条规则后, 会自动给该规则分配一个全局唯一的索引值, 用于系统运行时对该规则进行检索 用户在使用本命令下发一条规则时, 也可以为该规则指定一个系统索引值, 但该值在系统运行过程中可能改变 一般情况下, 建议用户不要手动指定该参数 1-13

17 第 1 章 配置 说明 : 对 MPLS 报文,dscp-value 不仅代表 DSCP 优先级, 同时也可以映射到 EXP 上, 因此用户在设置 dscp-value 的同时也设定了 EXP 值 需要注意的是,S9500 交换机作为入 PE 设备的时候 : 对于 IP 报文,EXP 根据 DSCP+Conform-Level > 服务参数 映射表来进行匹配 ; 对 TCP UDP 报文,EXP 值取 dscp-value 的低 3 比特 S9500 交换机作为入 P 设备的时候,EXP 值取 dscp-value 的低 3 比特 优先级标记操作使用的 DSCP+Conform-Level > 服务参数 映射表和 EXP+Conform-Level > 服务参数 映射表是 Conform-Level 为 0 的映射表 关于命令的详细描述请参见本章对应的命令手册 报文重定向配置报文重定向就是用户改变转发的报文的输出方向, 用户可以将报文重定向到如下目的地之一 :CPU 以太网端口 RPR 逻辑端口 聚合组 Smart Link 组 IP 地址和单板 对普通接口板, 请在以太网端口视图下进行下列配置 表 1-11 重定向配置 操作 对匹配三层流规则的报文进行重定向配置 取消对匹配三层流规则的报文进行重定向配置 对同时匹配二层和三层流规则的报文进行重定向配置 命令 traffic-redirect inbound ip-group { acl-number acl-name } [ rule rule [ system-index index ] ] { cpu interface interface-type interface-number destination-vlan [ l2-vpn l3-vpn ] link-aggregation group groupid destination-vlan smart-link group groupid destination-vlan next-hop ip-addr1 [ ip-addr2 ] [ invalid { forward drop } ] slot slot-id { vlanid designated-vlan vlanid } [ join-vlan ] } undo traffic-redirect inbound ip-group { acl-number acl-name } [ rule rule ] traffic-redirect inbound ip-group { acl-number acl-name } rule rule link-group { acl-number acl-name } [ rule rule ] { cpu interface interface-type interface-number destination-vlan [ l2-vpn l3-vpn ] link-aggregation group groupid destination-vlan smart-link group groupid destination-vlan next-hop ip-addr1 [ ip-addr2 ] [ invalid { forward drop } ] slot slot-id designated-vlan vlanid [ join-vlan ] } 或 traffic-redirect inbound ip-group { acl-number acl-name } link-group { acl-number acl-name } rule rule { cpu interface interface-type interface-number destination-vlan [ l2-vpn l3-vpn ] link-aggregation group groupid destination-vlan smart-link group groupid destination-vlan next-hop ip-addr1 [ ip-addr2 ] [ invalid { forward drop } ] slot slot-id designated-vlan vlanid [ join-vlan ] } 1-14

18 第 1 章 配置 操作 取消对同时匹配二层和三层流规则的报文进行重定向配置 对匹配二层流规则的报文进行重定向配置 取消对匹配二层流规则的报文进行重定向配置 命令 undo traffic-redirect inbound ip-group { acl-number acl-name } { rule rule link-group { acl-number acl-name } [ rule rule ] link-group { acl-number acl-name } rule rule } 或 undo traffic-redirect inbound link-group { acl-number acl-name } { rule rule ip-group { acl-number acl-name } ip-group { acl-number acl-name } rule rule } traffic-redirect inbound link-group { acl-number acl-name } [ rule rule [ system-index index ] ] { cpu interface interface-type interface-number destination-vlan [ l2-vpn l3-vpn ] link-aggregation group groupid destination-vlan smart-link group groupid destination-vlan next-hop ip-addr1 [ ip-addr2 ] [ invalid { forward drop } ] slot slot-id designated-vlan vlanid [ join-vlan ] } undo traffic-redirect inbound link-group { acl-number acl-name } [ rule rule ] 注意 : 在配置重定向到 NAT 板并指定 VLAN 的情况下, 端口不允许退出指定 VLAN( 执行 undo 删除混插操作等) 如果有意外情况导致端口退出 VLAN, 建议用户删除重定向配置, 重新将端口加入到 VLAN, 再配置重定向到 NAT 板并指定 VLAN 对业务处理板, 请在 VLAN 视图下进行下列配置 表 1-12 重定向配置 操作 对匹配三层流规则的报文进行重定向配置 取消对匹配三层流规则的报文进行重定向配置 命令 traffic-redirect inbound ip-group { acl-number acl-name } { { rule rule { cpu [ slot slot-id ] next-hop ip-addr1 [ ip-addr2 ] [ invalid { forward drop } ] system-index index { cpu [ slot slot-id ] next-hop ip-addr1 [ ip-addr2 ] [ invalid { forward drop } } } { cpu [ slot slot-id ] } { next-hop ip-addr1 [ ip-addr2 ] [ invalid { forward drop } ] [ slot slot-id ] } } undo traffic-redirect inbound ip-group { acl-number acl-name } [ rule rule ] [ slot slot-id ] system-index index 参数是访问控制列表规则的系统索引值 系统下发一条规则后, 会自动给该规则分配一个全局唯一的索引值, 用于系统运行时对该规则进行检索 用户在使用本命令下发一条规则时, 也可以为该规则指定一个系统索引值, 但该值在系统运行过程中可能改变 一般情况下, 建议用户不要手动指定该参数 1-15

19 第 1 章 配置 说明 : 重定向配置仅对访问列表中动作为 permit 的规则有效 当报文被重定向到 CPU 后, 将不再正常转发 用户可以使用重定向命令中的 next-hop 参数实现策略路由 在业务处理板上配置 traffic-redirect 命令前必须先在端口视图下配置报文重定向, 将三层报文定向到业务处理板和指定 VLAN 不允许将组播报文重定向到业务处理板 关于命令的详细描述请参见本章对应的命令手册 队列调度配置交换机的端口一般支持 8 个输出队列 (GV48D/GP48D/XP4 非线速单板只支持 4 个输出队列 ) 交换机依据报文的本地优先级将报文插入到出端口输出队列中 当网络拥塞时, 必须解决多个报文同时竞争使用资源的问题, 通常采用队列调度加以解决 交换机支持 SP 调度算法和 WRR 调度算法 端口的 8 个输出队列中, 不同的队列可以采用不同的队列调度算法 因此, 交换机支持下面三种队列调度方式 : 所有队列全部采用 SP 调度 所有队列全部采用 WRR 调度 : 调度时从两个 WRR 组中各选出一个队列, 这两个队列再进行优先级的比较, 哪个队列的优先级高就调度哪个队列 调度完后, 再从高优先级队列所在的 WRR 组内选择另一个队列, 与之前优先级低的队列进行比较 部分队列采用 SP 调度, 部分队列采用 WRR 调度 这样在队列调度时, 各调度组内自行调度,SP 调度组执行严格调度方式,WRR 调度组执行轮循调度 这样从 SP 调度组 WRR 优先级组 1 WRR 优先级组 2 中各选出一个队列 ; 然后, 系统对选出的队列再按严格优先级进行调度 可以使用下面的命令来进行队列调度配置 请在以太网端口视图下进行下列配置 表 1-13 设置队列调度算法 操作 设置队列调度算法 恢复队列调度算法的缺省值 命令 queue-scheduler wrr { group1 { queue-id queue-weight } &<1-8> group2 { queue-id queue-weight } &<1-8> } * undo queue-scheduler [ queue-id ] &<1-8> 1-16

20 第 1 章 配置 缺省情况下, 交换机采用为严格优先调度模式 用户在配置队列调度时, 没有配置采用 WRR 算法的队列采用缺省的严格优先调度模式 关于命令的详细描述请参见本章对应的命令手册 拥塞避免配置当拥塞发生时, 交换机会尽快的丢包释放队列资源, 同时尽量不将报文放入高延迟的队列中, 以消除拥塞 交换机在接收报文时为报文分配了丢弃级别 ( 也可以称为对报文进行着色 ) 丢弃级别取值为 0 1 2,2 代表红色,1 代表黄色,0 代表绿色 在拥塞发生时, 红色报文将首先被丢弃, 绿色报文最后才会被丢弃 拥塞避免的参数和丢弃阀值可以分队列 分丢弃级别进行配置 交换机支持两种丢弃算法 : 尾丢弃 : 当进行报文丢弃时, 对于按丢弃级别划分的红 黄 绿报文分别使用红 黄 绿队列的丢弃阀值来决定是否丢弃 当红 黄 绿报文分别超过红 黄 绿队列的上限队列长度, 系统就开始丢弃上限队列长度之后的报文 WRED 丢弃算法 : 在按照队列对报文进行丢弃时综合考虑了丢弃级别 当红 黄 绿报文分别超过红 黄 绿队列的下限队列长度时, 系统就开始以某一斜率丢弃下限队列长度与上限度列长度之间的报文 当红 黄 绿报文开始超过它们的上限队列长度时, 系统就开始丢弃上限度列长度之后的所有报文 在配置交换机的丢弃算法时, 首先需要配置各个端口输出队列的 WRED 参数 1. 配置 WRED 参数系统提供 4 套缺省的 WRED 参数, 分别以索引号 表示 每套参数包括 8 个输出队列的 10 个参数, 包括 : 绿 黄 红色报文的开始随机丢弃的队列长度, 绿 黄 红色报文的完全丢弃的队列长度 绿 黄 红色报文的最大丢弃概率, 进行队列平均长度计算时的权重 用户可以根据需要使用以下命令修改当前的 WRED 索引代表的 WRED 参数 可以使用下面的命令来进行 WRED 参数配置 请在系统视图下开始下列配置 表 1-14 设置 WRED 参数 操作 命令 在系统视图下进行配置 : 进入 WRED 索引视图 在系统视图下进行配置 : 恢复 WRED 参数配置的缺省值 wred wred-index undo wred wred-index 1-17

21 第 1 章 配置 操作 在 WRED 索引视图进行配置 : 设置 WRED 参数 在 WRED 索引视图进行配置 : 恢复 WRED 参数的缺省值 命令 queue queue-id green-min-threshold green-max-threshold green-max-prob yellow-min-threshold yellow-max-threshold yellow-max-prob red-min-threshold red-max-threshold red-max-prob exponent undo queue queue-id undo wred 命令将相应的 WRED 索引下的一套 WRED 参数配置恢复为缺省值 undo queue 将与该队列相关的 WRED 参数配置恢复为缺省值 缺省情况下, 交换机提供缺省的 4 套 WRED 参数 注意 : 当组播报文通过某端口输出队列发送时, 需要使用 queue 命令将该队列对应的完全丢弃队列长度参数适当调大, 才能保证出端口的复制能力达到最佳效果 关于命令的详细描述请参见本章对应的命令手册 2. 配置丢弃算法可以使用下面的命令来进行丢弃算法配置 请在以太网端口视图下进行配置 表 1-15 设置丢弃算法 操作 命令 设置丢弃算法 drop-mode { tail-drop wred } [ wred-index ] 恢复丢弃算法的缺省值 undo drop-mode 缺省情况下, 交换机采用尾丢弃模式 关于命令的详细描述请参见本章对应的命令手册 流镜像配置流镜像就是将匹配访问控制列表规则的业务流复制到 CPU 端口或者 NetStream 单板, 用于报文的分析和监视 请在以太网端口视图下进行下列流镜像配置 1-18

22 第 1 章 配置 表 1-16 流镜像配置 操作 对匹配三层流规则的报文进行流镜像配置 取消对匹配三层流规则的报文进行流镜像的配置 对同时匹配二层和三层流规则的报文进行流镜像配置 取消对同时匹配二层和三层流规则的报文进行流镜像的配置 对匹配二层流规则的报文进行流镜像配置 取消对匹配二层流规则的报文进行流镜像的配置 命令 mirrored-to inbound ip-group { acl-number acl-name } [ rule rule [ system-index index ] ] { cpu interface interface-type interface-number slot slot-id } undo mirrored-to inbound ip-group { acl-number acl-name } [ rule rule ] mirrored-to inbound ip-group { acl-number acl-name } { rule rule link-group { acl-number acl-name } [ rule rule [ system-index index ] ] link-group { acl-number acl-name } rule rule } { cpu interface interface-type interface-number slot slot-id } undo mirrored-to inbound ip-group { acl-number acl-name } { rule rule link-group { acl-number acl-name } [ rule rule ] link-group { acl-number acl-name } rule rule } mirrored-to inbound link-group { acl-number acl-name } [ rule rule [ system-index index ] ] { cpu interface interface-type interface-number slot slot-id } undo mirrored-to inbound link-group { acl-number acl-name } [ rule rule ] system-index index 参数是访问控制列表规则的系统索引值 系统下发一条规则后, 会自动给该规则分配一个全局唯一的索引值, 用于系统运行时对该规则进行检索 用户在使用本命令下发一条规则时, 也可以为该规则指定一个系统索引值, 但该值在系统运行过程中可能改变 一般情况下, 建议用户不要手动指定该参数 关于命令的详细描述请参见本章对应的命令手册 流镜像的配置有如下限制 : (1) ACL 限制 只支持入方向 VLAN-ACL 和全局 ACL 不支持 每单板只能有一个分析端口 在同一单板上, 如果流镜像分析端口与端口镜像分析端口相同, 则允许配置, 否则不允许 (2) 分析端口限制 不能为聚合成员端口 不能为非以太网口 ( 如 POS 口 CPOS 口 E1/T1 口 Mp-Group 接口 通道串口 ATM 接口 RPR 口 ) 不能与配置流规则的源端口相同 不能为 XP4B XP4CA 单板上的端口 1-19

23 第 1 章 配置 如果分析端口在 GV48 GP48 单板上, 则只能有一个分析端口 (3) 流镜像源端口限制 : 不能与规则中的分析端口相同 WAN 口 (CPOS 接口 E1/T1 接口 Mp-Group 接口 通道串口 ATM 接口 ) 目前不支持作为源端口 不能为 C CA 类单板以及 XP4B 单板上的端口 如果源端口在 GV48 GP48 单板上, 则在该单板上, 出 入镜像的分析端口必须相同 流镜像的特殊说明 : 同时配置有 traffic-limit, 流镜像的是限速后的流量, 端口镜像的是所有流量 同时配置有 traffic-priority, 镜像的流不会带优先级标记的 DSCP 值 当报文中的 VLAN tag 与分析端口 (Trunk 口 ) 所允许通过的 VLAN 相同时, Tag 不会被剥离, 反之, 报文中的 Tag 会被剥离 当通过 Access 口进入的报文被镜像到与此 Access 口处于同一 VLAN 的其他 Trunk 口时, 加上 VLAN Tag 从 GV48 GP48 单板流镜像出来的报文都带 Tag 端口镜像配置端口镜像就是将被监控端口上的数据复制到指定的监控端口, 对数据进行分析和监视 以太网交换机支持多对一的镜像, 即将多个端口的报文复制到一个监控端口上 用户可以指定受监控的报文的方向, 如下所示 : 只监控指定端口接收的报文 ( 入报文镜像 ) 只监控指定端口发送的报文 ( 出报文镜像 ) 可以使用下面的命令进行端口镜像配置 请在系统视图下进行下列配置 表 1-17 端口镜像配置 操作 配置端口镜像 取消端口镜像的配置 命令 mirroring-group groupid { inbound outbound } mirroring-port-list mirrored-to monitor-port undo mirroring-group groupid S9500 系列交换机采用端口镜像组的方式来配置端口镜像功能 每个端口镜像组包含一个监控端口, 和一组被监控端口 1-20

24 第 1 章 配置 说明 : S9500 支持跨板镜像, 即监控端口和被监控端口可以位于不同的接口板上 端口镜像的配置有如下的限制 : 对于非跨板镜像, 一个接口板上所有同方向的镜像组只能配置一个监控端口 类似的, 对于跨板镜像, 一个接口板上所有同方向的镜像组也只能配置一个监控端口 ( 该监控端口在另一块接口板上 ) 对于监控发送报文方向的端口镜像组, 所有镜像组的被监控端口个数之和不能超过 8 个 同一个端口可以作为不同镜像组的监控端口和被监控端口 对 GV48 或 GP48 单板, 配置端口镜像有以下特殊限制 : 被监控端口在同一块 GV48 或 GP48 单板上的镜像组 ( 包括入端口镜像和出端口镜像 ) 只能有一个监控端口 系统中配置的所有的端口镜像组, 在同一块 GV48 或 GP48 单板上最多只能有一个监控端口 XP4B XP4CA 单板端口镜像有以下特殊限制 : 端口镜像不能跨板, 并且只能在端口 0~1 或端口 2~3 之间, 并且端口 0~1 和端口 2~3 各有一个入方向和出方向的监控端口 ( 其他接口板是板内各有一个 ) 关于命令的详细描述请参见本章对应的命令手册 流量统计配置流量统计用于统计指定业务流的数据包, 它统计的是交换机转发的数据包中匹配已定义的访问控制列表的数据信息 在进行了流量统计配置之后, 用户可以使用命令 display qos-interface traffic-statistic 显示统计的信息 请在以太网端口视图下进行下列配置 表 1-18 流量统计配置 操作 对匹配三层流规则的报文进行流量统计配置 取消对匹配三层流规则的报文进行流量统计配置 对匹配二层流规则的报文进行流量统计配置 命令 traffic-statistic inbound ip-group { acl-number acl-name } [ rule rule [ system-index index ] ] [ tc-index index ] undo traffic-statistic inbound ip-group { acl-number acl-name } [ rule rule ] traffic-statistic inbound link-group { acl-number acl-name } [ rule rule [ system-index index ] ] [ tc-index index ] 1-21

25 第 1 章 配置 操作 取消对匹配二层流规则的报文进行流量统计配置 对同时匹配二层和三层流规则的报文进行流量统计配置 取消对同时匹配二层和三层流规则的报文进行流量统计配置 显示端口流量统计信息 / 端口实际通过流量的速率信息 命令 undo traffic-statistic inbound link-group { acl-number acl-name } [ rule rule ] traffic-statistic inbound ip-group { acl-number acl-name } { rule rule link-group { acl-number acl-name }{ rule rule [ system-index index ] link-group { acl-number acl-name } rule rule } [ tc-index index ] undo traffic-statistic inbound ip-group { acl-number acl-name } { rule rule link-group { acl-number acl-name }{ rule rule [ system-index index ] link-group { acl-number acl-name } rule rule } [ tc-index index ] display qos-interface [ interface-type interface-number ] traffic-statistic [ rate [ timeinterval ] ] system-index index 参数是访问控制列表规则的系统索引值 系统下发一条规则后, 会自动给该规则分配一个全局唯一的索引值, 用于系统运行时对该规则进行检索 用户在使用本命令下发一条规则时, 也可以为该规则指定一个系统索引值, 但该值在系统运行过程中可能改变 一般情况下, 建议用户不要手动指定该参数 关于命令的详细描述请参见本章对应的命令手册 说明 : tc-index index 参数范围是 0~12288, 其中参数 0 为系统留用, 当指定参数为 0 时, 由系统分配索引值 1.3 的显示和调试 在完成上述配置后, 在任意视图下执行 display 命令都可以显示配置后 的运行情况 用户可以通过查看显示信息验证配置的效果 在以太网端口视图下执行 reset traffic-statistic 命令可以将有关 的统计信息清除 普通接口板支持的 显示和调试命令如下 : 表 1-19 的显示和调试 操作显示端口流镜像的相关信息显示端口优先级标记的相关信息显示端口重定向的相关配置信息 命令 display qos-interface [ interface-type interface-number ] mirrored-to display qos-interface [ interface-type interface-number ] traffic-priority display qos-interface [ interface-type interface-number ] traffic-redirect 1-22

26 第 1 章 配置 操作 显示端口流量统计相关信息 命令 display qos-interface [ interface-type interface-number ] traffic-statistic 显示端口镜像的相关配置信息 display mirroring-group [ groupid ] 显示端口的 相关配置信息显示端口输出队列丢弃模式的相关配置信息显示端口流量限制的相关配置信息显示队列调度模式的相关配置信息显示端口流量整形的相关配置信息 display qos-interface [ interface-type interface-number ] all display qos-interface [ interface-type interface-number ] drop-mode display qos-interface [ interface-type interface-number ] traffic-limit display qos-interface [ interface-type interface-number ] queue-scheduler display qos-interface [ interface-type interface-number ] traffic-shape 显示流量监管的相关信息 display traffic-params [ traffic-index ] 显示 VLAN 的所有 设置信息显示 VLAN 下流量限制的参数设置显示 VLAN 下优先级标记的参数设置显示 VLAN 下报文重定向的参数设置显示 VLAN 下流量统计的参数设置 display qos-vlan [ vlan-id ] all display qos-vlan [ vlan-id ] traffic-limit display qos-vlan [ vlan-id ] traffic-priority display qos-vlan [ vlan-id ] traffic-redirect display qos-vlan [ vlan-id ] traffic-statistic 显示 DSCP + Conform-level > 服务参数 EXP + Conform-level > 服务参数 和 Local-precedence + Conform-level > 802.1p 优先级 映射表 display qos conform-level [ conform-level-value ] { dscp-policed-service-map [ dscp-list ] exp-policed-service-map local-precedence-cos-map } 显示 CoS >Drop-precedence 映射表 显示 CoS >Local-precedence 映射表 display qos cos-drop-precedence-map display qos cos-local-precedence-map 显示 WRED 参数 display wred [ wred-index ] 统计信息清零 reset traffic-statistic inbound { { ip-group { acl-number acl-name } rule rule link-group { acl-number acl-name } } * { ip-group { acl-number acl-name } link-group { acl-number acl-name } rule rule } * ip-group { acl-number acl-name } rule rule link-group { acl-number acl-name } rule rule } 1-23

27 第 1 章 配置 1.4 配置举例 流量监管配置举例 1. 组网需求 PC A 连接在交换机的 Eth3/1/1 端口,IP 地址为 /24,PC B 连接在 GE7/1/1 端口上,IP 地址为 /24, 它们都属于 VLAN 10 要求对通过端口 E3/1/1 和 GE7/1/1 进来的 ICMP 报文进行流量监管, 流量监管参数为 :cir 为 2000,cbs 为 ,ebs 为 , 超出部分丢弃 2. 组网图 图 1-4 流量监管配置组网图 3. 配置步骤 # 配置 VLAN 10 及其虚接口, 使 PC A 和 PC B 能连通交换机 [H3C] vlan 10 [H3C-vlan10] port Ethernet 3/1/1 [H3C-vlan10] port GigabitEthernet 7/1/1 [H3C] interface Vlan-interface 10 [H3C-Vlan-interface10] ip address # 配置 ACL 规则, 允许 ICMP 报文通过 [H3C] acl number 3000 [H3C-acl-adv-3000] rule 0 permit icmp [H3C-acl-adv-3000] quit # 在端口 E3/1/1 与 GE7/1/1 下配置流量监管,cir 为 2000,cbs 为 ,ebs 为 , 超出部分丢弃 [H3C] interface Ethernet 3/1/1 [H3C-Ethernet3/1/1] traffic-limit inbound ip-group conform remark-drop-priority exceed drop [H3C-Ethernet3/1/1] quit [H3C] interface GigabitEthernet 7/1/1 [H3C-GigabitEthernet7/1/1] traffic-limit inbound ip-group

28 第 1 章 配置 conform remark-drop-priority exceed drop 流量整形配置举例 1. 组网需求对端口 GE7/1/8 的输出队列 2 进行流量整形 最大速率设为 650Kbps, 突发尺寸设置为 12Kbytes 2. 组网图 GE7/1/8 GE7/1/1 GE7/1/2 VLAN2 VLAN3 PC A /8 PC B /8 图 1-5 流量整形配置组网图 3. 配置步骤 # 进入端口 GE7/1/8 视图 <H3C> system-view [H3C] interface GigabitEthernet 7/1/8 # 对当前端口的输出队列 2 进行流量整形, 最大速率设为 650kbps, 突发尺寸设置为 12kbytes [H3C-GigabitEthernet7/1/8] traffic-shape queue 端口镜像配置举例 1. 组网需求通过一个 Server 对两个端口的报文进行监控 组网图如下所示 研发部门通过端口 GE3/1/1 接入, 市场部门从端口 GE3/1/2 接入,Server 接在交换机 GE3/1/8 1-25

29 第 1 章 配置 2. 组网图 图 1-6 端口镜像配置组网图 3. 配置步骤 # 定义端口镜像组, 对 PC 之间的通信报文进行监控, 监控端口为 GigabitEthernet3/1/8 <H3C> system-view [H3C] mirroring-group 1 inbound gigabitethernet3/1/1 gigabitethernet3/1/2 mirrored-to gigabitethernet3/1/8 [H3C] mirroring-group 2 outbound gigabitethernet3/1/1 gigabitethernet3/1/2 mirrored-to gigabitethernet3/1/ 优先级标记配置举例 1. 组网需求对于 PC A(IP: ) 每天 8:00~18:00 发出的报文, 根据用户设定的 DSCP 值 63 查找映射表为该 PC 发出的报文重新分配服务参数 2. 组网图 GE7/1/8 GE7/1/1 GE7/1/2 VLAN2 VLAN3 PC A /8 PC B /8 图 1-7 优先级标记配置组网图 1-26

30 第 1 章 配置 3. 配置步骤 (1) 定义时间段 # 定义 8:00~18:00 时间段 <H3C> system-view [H3C] time-range test 8:00 to 18:00 daily (2) 定义 PC 报文的流规则 # 进入基于数字标识的基本访问控制列表视图, 用 2000 标识 [H3C] acl number 2000 # 定义 PC A 报文的流分类规则 [H3C-acl-basic-2000] rule 0 permit source time-range test [H3C-acl-basic-2000] quit (3) 定义 DSCP+Conform-Level > 服务参数 映射表 # 定义 DSCP+Conform-Level > 服务参数 映射表, 指定 DSCP 值为 63 [H3C] qos conform-level 0 [H3C-conform-level-0] dscp 63 : [H3C-conform-level-0] quit 则配置完毕后的 DSCP + Conform-level > 服务参数 映射表如下所示 表 1-20 DSCP + Conform-level > 服务参数 映射表 DSCP CL Policed -DSCP Policed-exp Policed p Policed-Localprec Policed-Drop Precedence (4) 为 PC A 发出的报文重新选择服务参数 # 根据用户配置的 DSCP 值为 PC A 发出的报文重新选择服务参数 [H3C] interface GigabitEthernet7/1/1 [H3C-GigabitEthernet7/1/1] traffic-priority inbound ip-group 2000 remark-policed-service dscp 报文重定向配置举例之一 1. 组网需求 将 PC A(IP: ) 每天 8:00~18:00 发出的报文的下一跳都定义为

31 第 1 章 配置 2. 组网图 GE7/1/8 GE7/1/1 GE7/1/2 VLAN2 VLAN3 PC A /8 PC B /8 图 1-8 报文重定向配置组网图 3. 配置步骤 (1) 定义时间段 # 定义 8:00~18:00 时间段 <H3C> system-view [H3C] time-range test 8:00 to 18:00 daily (2) 定义 PC 报文的流规则 # 进入基于数字标识的基本访问控制列表视图, 用 2000 标识 [H3C] acl number 2000 # 定义 PC A 报文的流分类规则 [H3C-acl-basic-2000] rule 0 permit source time-range test [H3C-acl-basic-2000] quit (3) 改变 PC A 发出的报文的下一跳 # 将 PC A 发出的报文下一跳都定义为 [H3C] interface GigabitEthernet7/1/1 [H3C-GigabitEthernet7/1/1] traffic-redirect inbound ip-group 2000 rule 0 next-hop 报文重定向配置举例之二 1. 组网需求 某公司通过端口 GE2/1/2 连接所有设备 ; 通过两条链路连接服务提供商设备 (ISP Router) 一条是千兆链路, 通过端口 GE2/1/1 连接 ISP Router; 一条是百兆链路, 通过端口 Eth3/1/1 连接 ISP Router; 1-28

32 第 1 章 配置 GE2/1/1 属于 VLAN20, 对应 VLAN 接口的 IP 地址为 /24, 对应 ISP Router 接口的 IP 地址为 /24; Eth3/1/1 属于 VLAN30, 对应 VLAN 接口的 IP 地址为 /24, 对应 ISP Router 接口的 IP 地址为 /24; 要求通过配置实现 : 千兆链路只传送 IP 优先级为 的高优先级报文, 而其它低优先级报文则使用百兆链路 2. 组网图 图 1-9 报文重定向配置组网图 3. 配置步骤 # 配置 VLAN 20 VLAN 30 及其虚接口地址, 使 S9500 能连通 ISP Router, 并把相应端口加入 VLAN 中 <H3C> system-view [H3C] vlan 20 [H3C-vlan20] port gigabitethernet 2/1/1 [H3C-vlan20] quit [H3C] interface Vlan-interface 20 [H3C-Vlan-interface20] ip address [H3C-Vlan-interface20] quit [H3C] vlan 30 [H3C-vlan30] port ethernet 3/1/1 [H3C-vlan30] quit [H3C] interface Vlan-interface 30 [H3C-Vlan-interface30] ip address # 配置匹配 IP 优先级的流模板并应用在端口上 [H3C] flow-template user-defined slot 2 ip-precedence [H3C] interface GigabitEthernet 2/1/2 [H3C-GigabitEthernet2/1/2] flow-template user-defined # 配置 ACL 规则 3000 和 3100 [H3C] acl number 3000 [H3C-acl-adv-3000] rule 0 permit ip precedence

33 第 1 章 配置 [H3C-acl-adv-3000] rule 1 permit ip precedence 6 [H3C-acl-adv-3000] rule 2 permit ip precedence 5 [H3C-acl-adv-3000] rule 3 permit ip precedence 4 [H3C-acl-adv-3000] quit [H3C] acl number 3100 [H3C-acl-adv-3100] rule 0 permit ip precedence 3 [H3C-acl-adv-3100] rule 1 permit ip precedence 2 [H3C-acl-adv-3100] rule 2 permit ip precedence 1 [H3C-acl-adv-3100] rule 3 permit ip precedence 0 [H3C-acl-adv-3100] quit # 在 GE2/1/2 端口下应用规则 [H3C] interface GigabitEthernet 2/1/2 [H3C-GigabitEthernet2/1/2] traffic-redirect inbound ip-group 3000 next-hop [H3C-GigabitEthernet2/1/2] traffic-redirect inbound ip-group 3100 next-hop 队列调度配置举例 1. 组网需求改变交换机上 802.1p 优先级和本地优先级的对应关系, 从而改变 802.1p 优先级和队列的映射关系, 使得交换机在将报文入输出队列的时候按照新的映射关系入队列 在端口 GE7/1/1 上设置队列 0~5 的调度模式为加权轮循调度, 队列 加入 WRR 优先级队列组 1, 权重分别为 , 队列 加入 WRR 优先级队列组 2, 权重分别为 , 队列 6 7 采用缺省的严格优先级调度 ( 缺省映射关系请参见 队列调度配置 章节的描述 ) 表 p 优先级 本地优先级的映射关系 802.1p 优先级本地优先级

34 第 1 章 配置 2. 组网图 GE7/1/8 GE7/1/1 GE7/1/2 VLAN2 VLAN3 PC A /8 PC B /8 图 1-10 队列调度配置组网图 3. 配置步骤 # 改变交换机上 802.1p 优先级和本地优先级的对应关系为用户指定的对应关系 <H3C> system-view [H3C] qos cos-local-precedence-map # 设置队列 0~5 的调度模式为加权轮循调度, 队列 加入 WRR 优先级队列 1, 权重分别为 , 队列 加入 WRR 优先级队列 2, 权重分别为 , 队列 6 7 采用缺省的严格优先级调度, 可以使用 display 命令查看 配置信息 [H3C] interface GigabitEthernet7/1/1 [H3C-GigabitEthernet7/1/1] queue-scheduler wrr group group [H3C-GigabitEthernet7/1/1] return <H3C> display qos-interface GigabitEthernet7/1/1 queue-scheduler GigabitEthernet7/1/1 Port scheduling: QID: scheduling-group weight : wrr, group : wrr, group : wrr, group : wrr, group : wrr, group : wrr, group : sp 0 7 : sp

35 第 1 章 配置 拥塞避免配置举例 1. 组网需求对端口 GE7/1/1 发送的报文进行拥塞避免配置, 参数设置如下 : 配置 WRED 索引为 0 的 WRED 参数, 端口输出队列号取值 7 绿色报文的开始随机丢弃的队列长度取值 150 绿色报文的完全丢弃的队列长度取值 500 绿色报文的最大丢弃概率取值 5 黄色报文的开始随机丢弃的队列长度取值 100 黄色报文的完全丢弃的队列长度取值 150 黄色报文的最大丢弃概率取值 10 红色报文的开始随机丢弃的队列长度取值 50 红色报文的完全丢弃的队列长度取值 100 红色报文的最大丢弃概率取值 15, 进行队列平均长度计算时的权重取值为 10; 设置端口 GigabitEthernet7/1/1 的丢弃模式为 WRED 丢弃模式, 阀值参数的设置取 WRED 索引为 0 时的设置 2. 组网图 GE7/1/8 GE7/1/1 GE7/1/2 VLAN2 VLAN3 PC A /8 PC B /8 图 1-11 拥塞避免配置组网图 3. 配置步骤 (1) 定义 WRED 参数 # 定义 WRED 0 的参数 <H3C> system-view [H3C] wred 0 [H3C-wred-0] queue [H3C-wred-0] quit (2) 设置端口的丢弃模式和阀值参数 # 定义端口 GE7/1/1 的丢弃模式为 WRED 丢弃模式, 阀值参数的设置取 WRED 索引为 0 时的设置 [H3C] interface GigabitEthernet7/1/1 [H3C-GigabitEthernet7/1/1] drop-mode wred

36 第 1 章 配置 流量统计配置举例 1. 组网需求组网图如下所示 假定一台 PC A 的 IP 地址为 , 另一台 PC B 的 IP 地址为 , 交换机的上行端口为 GE7/1/8 要求在每天 8:00~18:00 时间段内, 交换机对 PC A 发出的报文进行统计 2. 组网图 GE7/1/8 GE7/1/1 GE7/1/2 VLAN2 VLAN3 PC A /8 PC B /8 图 1-12 流量统计配置组网图 3. 配置步骤 (1) 定义时间段 # 定义 8:00~18:00 时间段 <H3C> system-view [H3C] time-range test 8:00 to 18:00 daily (2) 定义 PC A 报文的流规则 # 定义 PC A 报文的流分类规则 [H3C] acl number 2000 [H3C-acl-basic-2000] rule 0 permit source time-range test [H3C-acl-basic-2000] quit (3) 对 PC A 的报文进行统计, 通过 display 命令可以查看统计结果 [H3C] interface GigabitEthernet7/1/1 [H3C-GigabitEthernet7/1/1] traffic-statistic inbound ip-group 2000 rule 0 [H3C-GigabitEthernet7/1/1] quit [H3C] display qos-interface GigabitEthernet7/1/1 traffic-statistic GigabitEthernet7/1/1: traffic-statistic Inbound: Matches: Acl 2000 rule 0 running bytes (green byte(s), yellow 0 byte(s), red 0 byte(s) ) packets 1-33

37 第 2 章端口令牌配置 第 2 章端口令牌配置 下表列出了本章所包含的内容 如果您需要 了解端口令牌的基本原理和概念配置端口和端口队列的令牌数配置举例 请阅读 端口令牌配置简介配置端口和端口队列的令牌数端口令牌配置举例 2.1 端口令牌配置简介 S9500 系列路由交换机在实际应用中, 当三层组播业务出端口配置了多个 VLAN 而需要复制多份报文的时候, 由于出端口令牌数目和队列尾丢弃门限值的限制会导致此时出端口能够缓存的报文数目太少, 就会出现明显的丢包现象 在应用组播的环境中, 端口的令牌数和队列长度的分配会关系到组播的复制能力, 并且组播流的队列分配存在不确定性, 所以需要通过对端口的令牌数量作一些灵活的配置, 以使得组播业务获得比较令人满意的效果 2.2 配置端口和端口队列的令牌数 有些情况下, 例如流量从千兆口转发到百兆口, 或者流量中报文是变长的, 可能会因为令牌数分配的原因产生一些丢包, 这时候可以根据情况来调整端口上的令牌数和出端口队列上的令牌数来避免这种情况 配置准备无 2-1

38 第 2 章端口令牌配置 配置令牌数目 表 2-1 配置令牌数目 操作命令说明 进入系统视图 system-view - 配置端口或队列的令牌数目 qos token interface-list [ queue queue-id ] token-number 可选 interface-list 是端口列表, 包括以太网端口 POS 端口 RPR 逻辑端口 注意 : qos token 命令不支持百兆以太网端口 qos token 命令不支持 LSB1TGX1B LSB1GV48DB 板的端口 配置 qos token 命令时,LSB1P4G8B LSB1P4G8C LSB1P4G8CA LSB1SP4CA 板上的四个 POS 端口只能同时配置一个端口 ; LSB1XP4B LSB1XP4CA 板的第 1 3 个端口支持配置, 第 2 4 个端口不支持该配置 2.3 端口令牌配置举例 配置步骤 : # 将端口 GigabitEthernet3/1/1 总的令牌数设置为 30 <H3C> system-view System View: return to User View with Ctrl+Z. [H3C] qos token GigabitEthernet3/1/1 30 # 将端口 GigabitEthernet3/1/1 队列 2 的令牌数设置为 5 个 <H3C> system-view System View: return to User View with Ctrl+Z. [H3C] qos token GigabitEthernet3/1/1 queue

39 第 3 章 WAN- 配置 第 3 章 WAN- 配置 下表列出了本章所包含的内容 如果您需要 了解 WAN-Qos 的概念配置 WAN-Qos 配置举例 请阅读 WAN- 简介 WAN- 配置 WAN- 配置举例 3.1 WAN- 简介 WAN- 即 WAN 接口上的 用户通过对 WAN 接口配置 命令, 从而实 现对 WAN 接口下行方向的 功能 支持 WAN- 的接口包括有 :CPOS E1/T1 单板上的通道接口或者 MP-Group 接口 3.2 WAN- 配置 表 3-1 WAN- 配置 配置步骤命令说明 进入系统视图 system-view - 进入 WAN 接口视图 interface interface-type interface-number 支持的接口类型为 CPOS E1/T1 单板上的通道接口或者 MP-Group 接口 通道使能 qos enable 必选 配置丢弃门限值 配置队列调度模式 queue queue-id tail-drop dp0-threshold dp1-threshold dp2-threshold queue-scheduler wrr group { queue-id queue-weight } &<1-4> 可选 可选 退回系统视图 quit - 3-1

40 第 3 章 WAN- 配置 配置步骤命令说明 查看 WAN 接口的 Qos 配置 显示 WAN 接口输出队列丢弃模式配置信息 显示 WAN 接口队列调度模式及参数 display qos-interface [ interface-type interface-number ] all display qos-interface [ interface-type interface-number ] drop-mode display qos-interface [ interface-type interface-number ] queue-scheduler display 命令可以在任意视图执行 WAN- 配置有以下限制 : 每块 WAN 单板只有 64 个通道接口或者 MP-Group 接口支持 ; 每个通道只支持 4 个优先级队列 ; WAN- 不支持流量整形 WAN- 中,cos->lp,cos->dp 的映射表是固定的 ( 用户不可以配置 ), 映射关系如下表所示 : 表 3-2 cos->lp,cos->dp 映射表 Cos Lp Dp WAN- 配置举例 1. 组网需求使用一根 E1 线缆直接连接 Switch A 和 Switch B 的 E1 接口, 使用 1-31 时隙捆绑创建通道, 通过 PPP 协议进行互连 Switch B 的时钟由 Switch A 提供 Switch B 向 Switch A 的下行流量分 4 个优先级队列按照 5:5:10:15 的 WRR 方式调度 2. 组网图 图 3-1 交换机通过 E1 端口直连 配置组网图 3-2

41 第 3 章 WAN- 配置 3. 配置步骤 (1) 配置 Switch A # 配置 E1 端口 7/1/1 <H3C> system-view [H3C] controller e1 7/1/1 [H3C-E17/1/1] clock master [H3C-E17/1/1] channel-set 1 timeslot-list 1-31 [H3C] interface serial 7/1/1:1 [H3C-Serial7/1/1:1] ip address (2) 配置 Switch B # 配置 E1 端口 8/1/1 <H3C> system-view [H3C] controller e1 8/1/1 [H3C-E18/1/1] clock slave [H3C-E18/1/1] channel-set 1 timeslot-list 1-31 [H3C] interface serial 8/1/1:1 [H3C-Serial8/1/1:1] ip address [H3C-Serial8/1/1:1] qos enable [H3C-Serial8/1/1:1] queue-scheduler wrr group

42 第 4 章配置登录用户的 ACL 控制 第 4 章配置登录用户的 ACL 控制 下表列出了本章所包含的内容 如果您需要 了解 ACL 控制的基本原理和概念 配置对 Telnet/SSH 用户的 ACL 控制 对通过 SNMP 访问交换机的用户的 ACL 控制 配置举例 请阅读 配置登录用户的 ACL 控制简介 配置对 Telnet/SSH 用户的 ACL 控制 对通过 SNMP 访问交换机的用户的 ACL 控制 配置举例 1: 二层 ACL 控制配置举例 配置举例 2: 基本 ACL 控制配置举例 配置举例 3: 对通过 SNMP 访问交换机的用户的 ACL 控制配置举例 4.1 配置登录用户的 ACL 控制简介 目前,S9500 系列路由交换机提供了以下三种用户远程访问设备的方式 : 通过 Telnet 访问 通过 SSH(Security Shell, 安全外壳 ) 访问 通过 SNMP(Simple Network Management Protocol, 简单网络管理协议 ) 访问 S9500 系列路由交换机提供了安全控制特性, 对这三种访问方式进行安全控制, 防止非法用户登录 访问交换机 安全控制分为两级 : 第一级 : 通过控制用户的连接实现 通过配置 ACL(Access Control List, 访问控制列表 ) 对登录用户进行过滤, 只有合法用户才能和交换机建立连接 ; 第二级 : 通过用户口令认证实现 连接到交换机的用户必须通过口令认证才能真正登录到交换机 本节将介绍如何配置第一级安全控制, 即怎样配置对登录交换机用户进行 ACL 控制 4.2 配置对 Telnet/SSH 用户的 ACL 控制 通过配置对 Telnet 或 SSH 用户的 ACL 控制, 可以在登录用户进行口令认证之前将一些恶意或者不合法的连接请求过滤掉, 保证设备的安全 4-1

43 第 4 章配置登录用户的 ACL 控制 配置准备用户对 Telnet 或 SSH 方式登录交换机进行了正确配置 配置过程 表 4-1 对 Telnet 或 SSH 用户的 ACL 控制配置过程 配置步骤 命令 说明 进入系统视图 system-view - 定义访问控制列表, 并进入访问控制列表视图 acl number acl-number [ match-order { config auto } ] 必选此处只能定义基于数字标识的访问控制列表 定义子规则 基本访问控制列表视图下 高级访问控制列表视图下 rule [ rule-id ] { permit deny } protocol [ packet-level { bridge route } source { source-addr wildcard any } fragment time-range name vpn-instance instance-name ] * rule [ rule-id ] { permit deny } protocol [ packet-level { bridge route } source { source-addr wildcard any } destination { dest-addr wildcard any } source-port operator port1 [ port2 ] destination-port operator port1 [ port2 ] icmp-type type code established { match-any match-all } { urg ack psh rst syn fin } precedence precedence tos tos dscp dscp fragment bt-flag time-range name vpn-instance instance-name ttl ttl-value ] * Telnet 和 SSH 用户引用基本访问控制列表和高级访问控制列表时, 子规则中的参数只有源 IP 及其掩码 目的 IP 及其掩码 time-range 参数有效 二层访问控制列表视图下 rule [ rule-id ] { permit deny } [ packet-level { bridge route } cos cos-value c-tag-cos c-cos-value exp exp-value protocol-type mac-type { any-broadcast-packet arp-broadcast-packet non-arp-broadcast-packet { { unicast-packet multicast-packet } [ known unknown ] } } ingress { { source-vlan-id [ to source-vlan-id-end ] source-mac-addr source-mac-wildcard c-tag-vlan c-tag-vlan } * any } egress { dest-mac-addr dest-mac-wildcard any } s-tag-vlan s-tag-vlanid time-range name ] * Telnet 和 SSH 用户引用二层访问控制列表时, 子规则中的参数只有源 MAC 及其掩码 time-range 参数有效 退出访问控制列表视图 quit - 进入用户界面视图 user-interface [ type ] first-number - 4-2

44 第 4 章配置登录用户的 ACL 控制 配置步骤命令说明 引用访问控制列表, 对 Telnet 或 SSH 用户的呼入 (inbound)/ 呼出 (outbound) 进行限制 引用基本或高级访问控制列表 引用二层访问控制列表 acl acl-number1 { inbound outbound } acl acl-number2 inbound acl-number1 为基本或高级访问控制列表号, 取值范围是 2000~3999 acl-number2 为二层访问控制列表号, 取值范围是 4000~ 4999 缺省情况下, 不对用户界面的呼入 (inbound)/ 呼出 (outbound) 进行限制 说明 : Telnet 或 SSH 用户的 ACL 控制功能只能引用基于数字标识的访问控制列表 Telnet 或 SSH 用户引用基本访问控制列表或高级访问控制列表时, 基于源 IP 或目的 IP 地址对呼入 / 呼出进行限制 因此引用基本访问控制列表和高级访问控制列表子规则时, 只有源 IP 及其掩码 目的 IP 及其掩码 time-range 参数有效 类似的,Telnet 和 SSH 用户引用二层访问控制列表时, 基于源 MAC 地址对呼入 / 呼出进行限制 因此引用二层访问控制列表子规则时, 只有源 MAC 及其掩码 time-range 参数有效 基于二层访问控制列表对 Telnet SSH 用户进行控制时, 只能限制呼入 对由于受 ACL 限制而被拒绝登录的用户, 会记录一次访问失败日志信息 日志内容包括该用户的 IP 地址 登录方式 登入用户界面索引值和登录失败原因 4.3 二层 ACL 控制配置举例 1. 组网需求仅允许源 MAC 地址为 00A2-FC 和 00A2-FC 的 Telnet 用户访问交换机 2. 组网图 图 4-1 对访问 Switch 的 Telnet 用户进行源 MAC 控制 3. 配置步骤 # 定义二层访问控制列表 4-3

45 第 4 章配置登录用户的 ACL 控制 <H3C> system-view System View: return to User View with Ctrl+Z. [H3C] acl number 4000 match-order config # 定义子规则 [H3C-acl-link-4000] rule 1 permit ingress 00a2-fc [H3C-acl-link-4000] rule 2 permit ingress 00a2-fc [H3C-acl-link-4000] rule 3 deny ingress any [H3C-acl-link-4000] quit # 进入用户界面视图 [H3C] user-interface vty 0 4 # 引用二层访问控制列表, 对用户界面的呼入进行限制 [H3C-user-interface-vty0-4] acl 4000 inbound 4.4 基本 ACL 控制配置举例 1. 组网需求 仅允许来自 和 的 Telnet 用户访问交换机 2. 组网图 图 4-2 对 Switch 的 Telnet 用户进行源 IP 控制 3. 配置步骤 # 定义基本访问控制列表 <H3C> system-view System View: return to User View with Ctrl+Z. [H3C] acl number 2000 match-order config # 定义子规则 [H3C-acl-basic-2000] rule 1 permit source [H3C-acl-basic-2000] rule 2 permit source [H3C-acl-basic-2000] rule 3 deny source any [H3C-acl-basic-2000] quit # 进入用户界面视图 [H3C] user-interface vty 0 4 # 引用访问控制列表 4-4

46 第 4 章配置登录用户的 ACL 控制 [H3C-user-interface-vty0-4] acl 2000 inbound 4.5 对通过 SNMP 访问交换机的用户的 ACL 控制 H3C S9500 系列路由交换机支持通过网管软件进行远程管理 网管用户可以通过 SNMP 访问交换机, 对这些用户的 ACL 控制功能可以过滤掉不合法的网管用户, 使其不能登录本交换机 配置准备用户对 SNMP 方式登录交换机进行了正确配置 配置过程表 4-2 对 SNMP 用户的 ACL 控制配置过程配置步骤命令说明进入系统视图 system-view - 定义访问控制列表, 并进入访问控制列表视图 定义基本访问控制列表子规则 acl number acl-number [ match-order { config auto } ] rule [ rule-id ] { permit deny } protocol [ packet-level { bridge route } source { source-addr wildcard any } fragment time-range name vpn-instance instance-name ] * 必选, 此处只能定义基于数字标识的基本访问控制列表,acl-number 取值范围 2000~ 2999 必选 退出访问控制列表视图 quit - 4-5

47 第 4 章配置登录用户的 ACL 控制 配置步骤命令说明 引用访问控制列表, 对通过 SNMP 访问交换机的用户进行控制 在配置 SNMP 团体名的命令中引用访问控制列表 在配置 SNMP 组名的命令中引用访问控制列表 在配置 SNMP 用户名的命令中引用访问控制列表 snmp-agent community { read write } community-name [ mib-view view-name ] [ acl acl-number ] snmp-agent group { v1 v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] snmp-agent group v3 group-name [ authentication privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] snmp-agent usm-user { v1 v2c } user-name group-name [ acl acl-number ] snmp-agent usm-user v3 user-name group-name [ authentication-mode { md5 sha } auth-password ] [ privacy-mode des56 priv-password ] [ acl acl-number ] SNMP 团体名属性是 SNMP V1 SNMP V2 版本的一个特性, 所以在配置 SNMP 团体名的命令中引用访问控制列表对使用 SNMP V1 SNMP V2 的网管系统起到过滤作用 SNMP 组名 用户名属性是 SNMP V2 及以上版本的一个特性, 所以在配置 SNMP 组名 用户名的命令中引用访问控制列表对使用 SNMP V2 及以上版本的网管系统起到过滤作用 如果同时在这两个命令中配置了 ACL 控制功能, 则交换机会对网管用户的这两个属性都进行过滤 说明 : snmp-agent community snmp-agent group snmp-agent usm-use 三个命令中引用的访问控制列表可以是不同的访问控制列表 网管用户的 ACL 控制功能只能引用基于数字标识的基本访问控制列表 4.6 对通过 SNMP 访问交换机的用户的 ACL 控制配置举例 1. 组网需求 仅允许来自 和 的 SNMP 用户访问交换机 2. 组网图 图 4-3 对 Switch 的 SNMP 用户进行 ACL 控制 4-6

48 第 4 章配置登录用户的 ACL 控制 3. 配置步骤 # 定义基本访问控制列表和子规则 <H3C> system-view System View: return to User View with Ctrl+Z. [H3C] acl number 2000 match-order config [H3C-acl-baisc-2000] rule 1 permit source [H3C-acl-baisc-2000] rule 2 permit source [H3C-acl-basic-2000] rule 3 deny source any [H3C-acl-baisc-2000] quit # 引用访问控制列表 [H3C] snmp-agent community read test acl 2000 [H3C] snmp-agent group v3 testgroup acl 2000 [H3C] snmp-agent usm-user v3 testuser testgroup acl

49 第 5 章 VLAN-ACL 配置 第 5 章 VLAN-ACL 配置 下表列出了本章所包含的内容 如果您需要 了解 VLAN-ACL 控制的基本原理和概念配置 VLAN-ACL 配置举例 请阅读 VLAN-ACL 简介 VLAN-ACL 配置 VLAN-ACL 配置举例 5.1 VLAN-ACL 简介 VLAN-ACL 即基于 VLAN 的 ACL 用户通过对 VLAN 配置 动作, 从而实现对 VLAN 内所有端口的访问控制 VLAN-ACL 使用户能够更加方便地管理网络 用户只需在 VLAN 下配置, 相应的 动作就能同步到所有成员端口, 而无需在每个成员端口上单独配置 5.2 VLAN-ACL 配置 配置准备在 VLAN 下配置,VLAN 必须满足以下要求 : VLAN 内已经有成员端口 VLAN 内的端口不能为 POS 口 VLAN 内没有 MPLS 混插端口 VLAN 内的端口采用系统默认流模板 VLAN-ACL 配置过程 表 5-1 VLAN-ACL 配置 配置步骤 命令 说明 进入系统视图 system-view - 创建 ACL 并进入对应视图 acl { number acl-number name acl-name [ advanced basic ] } [ match-order { config auto } ] VLAN-ACL 只能采用基本或高级访问控制列表及其子规则 定义子规则 rule 必选 5-1

50 第 5 章 VLAN-ACL 配置 配置步骤命令说明 退出访问控制列表视图 quit - 进入 VLAN 视图 配置包过滤 ( 激活访问控制列表 ) 配置流量监管 标记报文优先级 配置报文重定向 配置流镜像 配置流量统计 vlan vlan-id packet-filter inbound ip-group { acl-number acl-name } [ rule rule [ system-index index ] ] traffic-limit inbound ip-group { acl-number acl-name } [ rule rule [ system-index index ] ] [ tc-index index ] cir cbs ebs [ pir ] [ conform { { remark-cos remark-drop-priority } * remark-policed-service } ] [ exceed { forward drop } ] traffic-priority inbound ip-group { acl-number acl-name } [ rule rule [ system-index index ] ] { auto remark-policed-service { trust-dscp dscp dscp-value untrusted dscp dscp-value cos cos-value local-precedence local-precedence drop-priority drop-level } } traffic-redirect inbound ip-group { acl-number acl-name } [ rule rule [ system-index index ] ] { cpu next-hop ip-addr1 [ ip-addr2 ] [ invalid { forward drop } ] } mirrored-to inbound ip-group { acl-number acl-name } [ rule rule [ system-index index ] ] cpu traffic-statistic inbound ip-group { acl-number acl-name } [ rule rule [ system-index index ] ] [ tc-index index ] 含有 POS 口或混插端口的 VLAN 不允许下发 VLAN-ACL 可选 可选 可选 可选 VLAN 视图下的 traffic-redirect 命令只支持重定向到下一跳和 CPU, 不支持重定向到接口和业务处理板, 不支持 nested-vlan 和 modified-vlan 可选 可选 退出 VLAN 视图 quit - 进入以太网端口视图 interface interface-type interface-number - 将 VLAN 的 QOS 配置手工同步到指定端口 查看 VLAN 中哪些端口已经同步有该 VLAN 的 ACL 配置 port can-access vlan-acl vlan vlan-id display vlan-acl-member-ports vlan vlan-id 可选 display 命令可以在任意视图执行 VLAN-ACL 配置有以下限制 : 5-2

51 第 5 章 VLAN-ACL 配置 (1) 流模板的限制 VLAN-ACL 只在采用默认流模板的端口下发, 所下发的 ACL 规则字段只能是默认流模板规定的字段 ; 若 VLAN 内尚无端口下发 ACL 规则, 当在 VLAN 视图下下发第一个规则时会检查 VLAN 内所有端口, 只要有一个端口使用自定义流模板, 则不允许下发 ; 若 VLAN 内已有部分端口下发 VLAN-ACL, 此时加入一个使用自定义流模板的端口, 结果为 : 端口能加入 VLAN, 但不能下发 VLAN-ACL; 此时, 再在 VLAN 视图下下发 VLAN-ACL, 原有的端口能够成功下发, 但新加入的端口无法下发 当此端口删除自定义流模板时, 系统会自动下发 VLAN 内的 规则到该端口 ; 当端口已下发有 VLAN-ACL 时, 如果想在端口下发自定义流模板, 系统会提示端口已下发有 VLAN-ACL, 不允许下发自定义流模板 (2) 当端口所在的 VLAN 和端口都下发有 规则时, 只有端口下的 起作用 ; VLAN-ACL 只有在删除端口下的 规则 并且删除端口下的自定义流模板之后才起作用 (3) 当 VLAN 内没有成员端口时, 不允许下发 VLAN-ACL( 包括增加和删除规则 ) (4) 如果两个端口的 VLAN-ACL 同步情况不一致, 则这两个端口无法动态聚合 (5) VLAN-ACL 不能在与 POS 口绑定的 VLAN 下发, 即 VLAN-ACL 不会下发到 POS 口 (6) 混插端口所在的 VLAN 不允许下发 VLAN-ACL; 反之, 下发有 VLAN-ACL 的 VLAN 不能再用于 MPLS 混插 (7) 若 VLAN 下发 ACL 规则时, 属于此 VLAN 的某端口所在单板不在位, 则单板在位以后, 此端口不能同步 ACL 规则 如果想同步 ACL 规则, 可以通过配置命令 port can-access vlan-acl 来实现 注意 : VLAN-ACL 在 XP4B 单板 XP4CA 单板端口下实际不生效 VLAN-ACL 在 OAP 单板的内联端口上不生效 5-3

52 第 5 章 VLAN-ACL 配置 5.3 VLAN-ACL 配置举例 VLAN-ACL 报文重定向配置举例 1. 组网需求将端口 GigabitEthernet7/1/1 和 GigabitEthernet7/1/2 每天 8:00~18:00 转发的报文下一跳地址都重定向到 /8 2. 组网图 GE7/1/8 GE7/1/1 GE7/1/2 VLAN2 VLAN3 PC A /8 PC B /8 图 5-1 报文重定向配置组网图 3. 配置步骤 (1) 定义时间段 # 定义 8:00~18:00 时间段 <H3C> system-view System View: return to User View with Ctrl+Z. [H3C] time-range test 8:00 to 18:00 daily (2) 定义 PC 报文的流规则 # 进入基于数字标识的基本访问控制列表视图, 用 2000 标识 [H3C] acl number 2000 # 定义报文的流分类规则, 允许指定时间段内的报文通过 [H3C-acl-basic-2000] rule 0 permit source any time-range test [H3C-acl-basic-2000] quit (3) 对 VLAN 2 配置报文重定向 # 将 VLAN 2 内的端口转发的报文下一跳都定义为 [H3C] vlan 2 [H3C-vlan2] traffic-redirect inbound ip-group 2000 rule 0 next-hop (4) 查看配置结果 5-4

53 第 5 章 VLAN-ACL 配置 # 查看 VLAN 2 内的端口 (GigabitEthernet7/1/1 和 GigabitEthernet7/1/2) 是否已同步了 VLAN-ACL [H3C-vlan2] display vlan-acl-member-ports vlan 2 Vlan-acl member port(s): GigabitEthernet7/1/1 GigabitEthernet7/1/ VLAN-ACL 流量监管配置举例 1. 组网需求 PC A 连接在交换机的 Eth3/1/1 端口,IP 地址为 /24,PC B 连接在 GE7/1/1 端口上,IP 地址为 /24, 它们都属于 VLAN 10 要求对通过端口 E3/1/1 和 GE7/1/1 进来的 ICMP 报文进行流量监管, 流量监管参数为 :cir 为 2000,cbs 为 ,ebs 为 , 超出部分丢弃 2. 组网图 图 5-2 流量监管配置组网图 3. 配置步骤 # 配置 VLAN 10 及其虚接口地址, 使 PC A 和 PC B 能连通交换机 <H3C> system-view [H3C] vlan 10 [H3C-vlan10] port Ethernet 3/1/1 [H3C-vlan10] port GigabitEthernet 7/1/1 [H3C-vlan10] quit [H3C] interface Vlan-interface 10 [H3C-Vlan-interface10] ip address [H3C-Vlan-interface10] quit # 配置 ACL 规则, 允许 ICMP 报文通过 [H3C] acl number 3000 [H3C-acl-adv-3000] rule 0 permit icmp [H3C-acl-adv-3000] quit 5-5