目 录（目录名）

Transcription

1 H3C SecPath 系列安全产品手册 (QoS) 目录 目录 第 1 章 QoS 简介 概述 传统的分组投递业务 新业务引发的新需求 拥塞的产生 影响和对策 拥塞的产生 拥塞的影响 对策 几种主要的流量管理技术 第 2 章流分类 流量监管和流量整形 流分类简介 流量监管和流量整形简介 流量评估与令牌桶 流量监管 流量整形 物理接口限速 流量监管和流量整形配置 流量监管配置 流量整形配置 接口限速配置 流量监管与流量整形显示和调试 显示 TP 规则 显示接口的 TP 配置情况和统计信息 显示接口的 TS 配置情况和统计信息 显示接口的 LR 配置情况和统计信息 流量监管与流量整形典型配置举例 第 3 章拥塞管理 拥塞管理简介 拥塞管理策略 拥塞管理技术的对比 先进先出队列的配置 配置 FIFO 队列的长度 优先队列的配置 配置优先列表 在接口上应用优先列表组 i

2 H3C SecPath 系列安全产品手册 (QoS) 目录 优先队列的显示和调试 定制队列的配置 配置定制列表 在接口上应用定制列表 定制队列的显示和调试 加权公平队列的配置 在接口上应用加权公平队列 加权公平队列的显示和调试 基于类的队列的配置 配置接口最大可用带宽 定义类并配置其匹配规则 定义流行为并配置其特性 配置策略 应用策略 基于类的队列的显示和调试 RTP 优先队列的配置 在接口上应用 RTP 队列 配置最大预留带宽 RTP 报文队列的显示和调试 典型配置举例 优先队列配置举例 基于类的队列配置举例 定制队列配置举例 第 4 章 DAR 配置 DAR 简介 配置 DAR 配置协议的匹配规则 配置 HTTP 协议的匹配规则 配置 RTP 协议的匹配规则 配置 DAR 应用协议的端口号 重命名用户预定义协议 使能 / 关闭 DAR 的报文统计功能 配置 DAR 可识别的最大连接数 DAR 的显示和调试 DAR 典型配置举例 DAR 配置举例 第 5 章拥塞避免 拥塞避免简介 WRED 的配置 ii

3 H3C SecPath 系列安全产品手册 (QoS) 目录 使用 WRED 设置 WRED 计算平均队列长度的指数 设置 WRED 各优先级参数 设置 WRED 各 DSCP 参数 WRED 的显示和调试 第 6 章 MPLS QoS MPLS QoS 概述 MPLS QoS 配置 配置 MPLS PQ 配置 MPLS CQ 配置 MPLS CBQ 配置 MPLS CAR MPLS QoS 典型配置举例 对同一 VPN 内的流进行 QoS 配置 iii

4 H3C SecPath 系列安全产品手册 (QoS) 第 1 章 QoS 简介 第 1 章 QoS 简介 1.1 概述 服务质量 (Quality of Service, 简称 QoS) 是各种存在服务供需关系的场合中普遍存在的概念, 它评估服务方满足客户服务需求的能力 评估通常不是精确的评分, 而是注重分析在什么条件下服务是好的, 在什么情况下还存在着不足, 以便有针对性地作出改进 在因特网中,QoS 所评估的就是网络投递分组的服务能力 由于网络提供的服务是多样的, 因此对 QoS 的评估可以基于不同方面 通常所说的 QoS, 是对分组投递过程中可为延迟 延迟抖动 丢包率等核心需求提供支持的服务能力的评估 1.2 传统的分组投递业务 传统的 IP 网络无区别地对待所有的报文, 防火墙处理报文采用的策略是先进先出 FIFO(First In First Out), 它依照报文到达时间的先后顺序分配转发所需要的资源 所有报文共享网络和防火墙的资源, 至于得到资源的多少完全取决于报文到达的时机 这种服务策略称作 Best-Effort( 尽力而为 ), 它尽最大的努力将报文送到目的地, 但对分组投递的延迟 延迟抖动 丢包率和可靠性等需求不提供任何承诺和保证 传统的 Best-Effort 服务策略只适用于对带宽 延迟性能不敏感的 WWW 文件传输 等业务 1.3 新业务引发的新需求 随着计算机网络的高速发展, 越来越多的网络接入因特网 Internet 无论从规模 覆盖范围和用户数量上都拓展得非常快 越来越多的用户使用 Internet 作为数据传输的平台, 开展各种应用 同样地, 服务提供商也希望通过新业务的开展来增加收益 除了传统的 WWW FTP 应用外, 用户还尝试在 Internet 上拓展新业务, 比如远程教学 远程医疗 可视电话 电视会议 视频点播等 企业用户也希望通过 VPN 技术, 将分布在各地的分支机构连接起来, 开展一些事务性应用 : 比如访问公司的数据库或通过 Telnet 管理远程设备 这些新业务有一个共同特点, 即对带宽 延迟 延迟抖动等传输性能有着特殊的需求 比如电视会议 视频点播需要高带宽 低延迟和低延迟抖动的保证 事务处理 1-1

5 H3C SecPath 系列安全产品手册 (QoS) 第 1 章 QoS 简介 Telnet 等关键任务虽然不一定要求高带宽, 但非常注重低延迟, 在拥塞发生时要求优先获得处理 新业务的不断涌现对 IP 网络的服务能力提出了更高的要求, 用户已不再满足于能够简单地将报文送达目的地, 而是还希望在投递过程中得到更好的服务, 诸如支持为用户提供专用带宽 减少报文的丢失率 管理和避免网络拥塞 调控网络的流量 设置报文的优先级 所有这些, 都要求网络应当具备更为完善的服务能力 1.4 拥塞的产生 影响和对策 传统网络所面临的服务质量问题, 主要是由网络拥塞引起的 所谓拥塞, 是指由于供给资源的相对不足而造成服务速率下降 ( 引入了额外的延迟 ) 的一种现象 拥塞的产生在因特网分组交换的复杂环境下, 拥塞极为常见 以下图中的两种情况为例 : 100M 100M 10M 100M 100M 不同速率接口流量的拥塞 100M 相同速率接口流量的拥塞 图 1-1 流量拥塞示意图 (1) 分组流从高速链路进入防火墙, 由低速链路转发出去 (2) 分组流从相同速率的多个接口同时进入防火墙, 由一个相同速率的接口转发出去 如果流量以线速到达, 那么就会遭遇资源的瓶颈而导致拥塞 不仅仅是链路带宽的瓶颈会导致拥塞, 任何用以正常转发处理的资源的不足, 如可分配的处理器时间 缓冲区 内存资源的不足, 都会造成拥塞 此外, 在某个时间内对所到达的流量控制不力, 使之超出了可分配的网络资源, 也是引发网络拥塞的一个因素 拥塞的影响拥塞有可能会引发一系列的负面影响 : 拥塞增加了报文传输的延迟和延迟抖动 过高的延迟会引起报文重传 1-2

6 H3C SecPath 系列安全产品手册 (QoS) 第 1 章 QoS 简介 拥塞使网络的有效吞吐率降低, 造成网络资源的损害 拥塞加剧会耗费大量的网络资源 ( 特别是存储资源 ), 不合理的资源分配甚至可能导致系统陷入资源死锁而崩溃 可见, 拥塞使流量不能及时获得资源, 是造成服务性能下降的源头 然而在分组交换以及多用户业务并存的复杂环境下, 拥塞又是常见的, 因此必须慎重加以对待 说明 : 当发生拥塞后, 设备的处理性能会有所下降 当网络的吞吐率降低到 QoS 能够处理的范围内后, 设备的处理性能会逐渐恢复正常 对策增加网络带宽是解决资源不足的一个直接途径, 然而它并不能解决所有导致网络拥塞的问题 解决网络拥塞问题的一个更有效的办法是增加网络层在流量控制和资源分配上的功能, 为有不同服务需求的业务提供有区别的服务, 正确地分配和使用资源 在进行资源分配和流量控制的过程中, 尽可能地控制好那些可能引发网络拥塞的直接或间接因素, 减少拥塞发生的概率 ; 并在拥塞发生时, 依据业务的性质及其需求特性权衡资源的分配, 将拥塞对 QoS 的影响减到最小 1.5 几种主要的流量管理技术 流分类 流量监管 流量整形 拥塞管理 拥塞避免和物理接口限速是构造有区别地实施服务的基石, 它们主要完成如下功能 : 流分类 : 依据一定的匹配规则识别出对象 流分类是有区别地实施服务的前提 流量监管 : 对进入防火墙的特定流量的规格进行监管 当流量超出规格时, 可以采取限制或惩罚措施, 以保护运营商的商业利益和网络资源不受损害 流量监管是在 IP 层上实现的 拥塞管理 : 网络拥塞是必须采取的解决资源竞争的措施 通常是将报文放入队列中缓存, 并采取某种调度算法安排报文的转发次序 拥塞避免 : 过度的拥塞会对网络资源造成损害 拥塞避免监督网络资源的使用情况, 当发现拥塞有加剧的趋势时采取主动丢弃报文的策略, 通过调整流量来解除网络的过载 流量整形 : 一种主动调整流的输出速率的流控措施, 通常是为了使流量适配下游路由器可供给的网络资源, 避免不必要的报文丢弃和拥塞 流量整形也是在 IP 层上实现的 1-3

7 H3C SecPath 系列安全产品手册 (QoS) 第 1 章 QoS 简介 物理接口限速 : 与 TP 相比,LR 能够限制在物理接口上通过的所有报文 TP 在 IP 层实现, 对于不经过 IP 层处理的报文不起作用 当用户只要求对所有报文限速时, 使用 LR 比较简单 在这些流量管理技术中, 流分类是基础, 它依据一定的匹配规则识别出报文, 是有区别地实施服务的前提 ; 而流量监管 流量整形 拥塞管理和拥塞避免从不同方面对网络流量及其分配的资源实施控制, 是有区别地提供服务思想的具体体现 一般情况下,QoS 执行以下功能 : 流分类 流量监管和流量整形 拥塞管理 拥塞避免 1-4

8 H3C SecPath 系列安全产品手册 (QoS) 第 2 章流分类 流量监管和流量整形 第 2 章流分类 流量监管和流量整形 2.1 流分类简介 流分类采用一定的规则识别符合某类特征的报文, 它是有区别地进行服务的前提和基础 流分类规则可以使用 IP 报文头的 ToS 字段的优先级位, 识别出有不同优先级特征的流量 ; 也可以由网络管理者设置流分类的策略, 例如综合源地址 目的地址 MAC 地址 IP 协议或应用程序的端口号等信息对流进行分类 一般的分类依据都局限在封装报文的头部信息, 使用报文的内容作为分类的标准是比较少见的 分类的结果是没有范围限制的, 它可以是一个由五元组 ( 源地址 源端口号 协议号码 目的地址 目的端口号 ) 确定的狭小范围, 也可以是到某网段的所有报文 一般在网络边界对报文分类时, 同时设置报文 IP 头的 ToS 字段中的优先级位, 这样, 在网络的内部就可以直接使用 IP 优先级作为分类标准 而队列技术如 WFQ 也可以使用这个优先级来对报文进行不同的处理 下游 (downstream) 网络可以选择接收上游 (upstream) 网络的分类结果, 也可以按照自己的标准重新进行分类 进行流分类是为了有区别地提供服务, 它必须与某种流控或资源分配动作关联起来才有意义 具体采取何种流控动作, 与所处的阶段以及网络当前的负载状况有关 例如, 当报文进入网络时依据承诺速率对它进行监管 ; 流出结点之前进行整形 ; 拥塞时的队列调度管理 ; 拥塞加剧时要采取拥塞避免措施等 2.2 流量监管和流量整形简介 如果不限制用户发送的流量, 那么大量用户不断突发的数据只会使网络更拥挤 为了使有限的网络资源能够更好地发挥效用, 更好地为更多的用户服务, 必须对用户的流量加以限制 比如限制每个时间间隔某个流只能得到承诺分配给它的那部分资源, 防止由于过分突发所引发的网络拥塞 流量监管和流量整形就是一种通过对流量规格的监督, 来限制流量及其资源使用的流控策略 进行流量监管或整形有一个前提条件, 就是要知道流量是否超出了规格, 然后才能根据评估结果实施调控策略 一般采用令牌桶 (Token Bucket) 对流量的规格进行评估 2-1

9 H3C SecPath 系列安全产品手册 (QoS) 第 2 章流分类 流量监管和流量整形 流量评估与令牌桶 1. 令牌桶的特点令牌桶可以看作是一个存放令牌的容器, 它有一定的容量 系统按设定的速度向桶中放置令牌, 当桶中令牌满时, 多出的令牌溢出, 桶中令牌不再增加 需由此接口发送的包 按规定的速率向桶中存放令牌 继续发送 分类 令牌桶 丢弃 图 2-1 用令牌桶评测流量 2. 用令牌桶评估流量在用令牌桶评估流量规格时, 是以令牌桶中的令牌数量是否足够满足报文的转发为依据的 如果桶中存在足够的令牌可以用来转发报文 ( 通常用一个令牌关联一个比特的转发权限 ), 称流量遵守或符合 (conform) 这个规格, 否则称为不符合或超标 (excess) 评估流量时令牌桶的参数设置包括 : 平均速率 : 向桶中放置令牌的速率, 即允许的流的平均速度 通常设置为承诺信息速率 (Committed Information Rate,CIR) 突发尺寸 : 令牌桶的容量, 即每次突发所允许的最大的流量尺寸 通常设置为承诺突发尺寸 (Committed Burst Size,CBS), 设置的突发尺寸必须大于最大报文长度 每到达一个报文就进行一次评估 每次评估, 如果桶中有足够的令牌可供使用, 则说明流量控制在允许的范围内, 此时要从桶中取走与报文转发权限相当的令牌数量 ; 否则说明已经耗费太多令牌, 流量超标了 3. 复杂评估为了评估更复杂的情况, 实施更灵活的调控策略, 可以设置两个令牌桶 例如流量监管 (Traffic Policing, 简称 TP) 中有三个参数 : 承诺信息速率 CIR(Committed Information Rate) 承诺突发尺寸 CBS(Committed Burst Size) 2-2

10 H3C SecPath 系列安全产品手册 (QoS) 第 2 章流分类 流量监管和流量整形 超出突发尺寸 EBS(Excess Burst Size) 它使用了两个令牌桶, 每个桶投放令牌的速率一样, 均为 CIR, 只是尺寸不同 分别为 CBS 和 CBS+EBS( 这两个桶简称 C 桶和 E 桶 ), 代表所允许的不同突发级别 每次评估时, 依据 C 桶有足够的令牌 C 桶令牌不足, 但 E 桶足够 以及 C 桶和 E 桶都没有足够的令牌 的情况, 可以分别实施不同的流控策略 流量监管流量监管 (Traffic Policing) 的典型应用是监督进入网络的某一流量的规格, 把它限制在一个合理的范围之内, 或对超出的部分流量进行 惩罚, 以保护网络资源和运营商的利益, 例如可以限制 HTTP 报文不能占用超过 50% 的网络带宽 如果发现某个连接的流量超标, 流量监管可以选择丢弃报文, 或重新设置报文的优先级 流量监管广泛地用于监管进入因特网服务提供商 ISP 的网络流量 TP 还包括对所监管流量的流分类服务, 并依据不同的评估结果, 实施预先设定好的监管动作 这些动作可以是 : 转发 : 比如对评估结果为 符合 的报文继续正常转发的处理 丢弃 : 比如对评估结果为 不符合 的报文进行丢弃 改变优先级并转发 : 比如对评估结果为 部分符合 的报文, 将之标记为其它的优先级后再进行转发 进入下一级的监管 : 流量监管可以逐级堆叠, 每级关注和监管更具体的目标 流量整形流量整形 (Traffic Shaping) 是一种主动调整流量输出速率的措施 一个典型应用是基于下游网络结点的 TP 指标来控制本地流量的输出 流量整形与流量监管的主要区别在于, 流量整形对流量监管中需要丢弃的报文进行缓存 通常是将它们放入缓冲区或队列内, 也称流量整形 (Traffic Shaping, 简称 TS), 如图 2-2 所示 当令牌桶有足够的令牌时, 再均匀的向外发送这些被缓存的报文 流量整形与流量监管的另一区别是, 整形可能会增加延迟, 而监管几乎不引入额外的延迟 2-3

11 H3C SecPath 系列安全产品手册 (QoS) 第 2 章流分类 流量监管和流量整形 需由此接口发送的报文 按照规定的速率向桶中存放令牌 继续发送 分类 令牌桶 队列 缓存 图 2-2 TS 示意图 例如, 在下图所示的应用中,SecPathA 向 SecPathB 发送报文 SecPathB 要对 SecPathA 发送来的报文进行 TP 监管, 对超出规格的流量直接丢弃 SecPathA SecPathB A 向 B 发送报文 物理线路 TP 监管 图 2-3 流量整形的应用 为了减少报文的无谓丢失, 可以在 SecPathA 的出口对报文进行 TS 处理 将超出 TS 流量特性的报文缓存在防火墙中 当可以继续发送下一批报文时,TS 再从缓冲队列中取出报文进行发送 这样, 发向 SecPathB 的报文将都符合 SecPathB 的流量规定 物理接口限速利用物理接口限速 (Line Rate,LR) 可以在一个物理接口上限制发送报文 ( 包括紧急报文 ) 的总速率 LR 也是采用令牌桶进行流量控制 如果在防火墙的某个接口上配置了 LR, 所有经由该接口发送的报文首先要经过 LR 的令牌桶进行处理 如果令牌桶中有足够的令牌, 则报文可以发送 ; 否则, 报文将入 QoS 队列进行拥塞管理 这样, 就可以对通过该物理接口的报文流量进行控制 2-4

12 H3C SecPath 系列安全产品手册 (QoS) 第 2 章流分类 流量监管和流量整形 按规定的速率向桶中存放令牌 需由此接口发送的分组 发送的分组 分类 队列 令牌桶 入队缓存 图 2-4 LR 处理过程示意图 由于采用了令牌桶控制流量, 当令牌桶中存有令牌时, 可以允许报文的突发性传输 ; 当令牌桶中没有令牌时, 报文必须等到桶中生成了新的令牌后才可以继续发送 这就限制了报文的流量不能大于令牌生成的速度, 达到了限制流量, 同时允许突发流量通过的目的 与 TP 相比,LR 能够限制在物理接口上通过的所有报文 TP 在 IP 层实现, 对于不经过 IP 层处理的报文不起作用 当用户只要求对所有报文限速时, 使用 LR 比较简单 2.3 流量监管和流量整形配置 流量监管配置主要包括 : 配置 CAR 列表 应用 CAR 策略流量整形配置主要包括 : 为某一类别的流设置整形参数 为所有的流设置整形参数物理接口限速配置主要包括 : 设置物理接口限速 LR 流量监管配置 流量监管的配置包括两方面的任务, 一是定义那些需要实施监管的报文的特征, 二 是定义对这些报文的监管策略 2-5

13 H3C SecPath 系列安全产品手册 (QoS) 第 2 章流分类 流量监管和流量整形 1. 配置 CAR 列表在应用 CAR 策略之前, 可以通过创建 CAR 列表对报文进行分类 对于不同的 carl-index, 本的重复执行将创建多个 CAR 列表 ; 对于同一个 carl-index, 本的重复执行将修改 CAR 列表的参数 请在系统视图下进行下列配置 表 2-1 配置 CAR 列表 创建 / 修改 CAR 列表 删除 CAR 列表 qos carl carl-index { precedence precedence-value dscp dscp-value mac mac-address } undo qos carl carl-index 当需要在一条 CAR 列表中同时匹配多个优先级或 DSCP 值时, 可指定多个不同的 precedence-value 或 dscp-value 2. 应用 CAR 策略本的重复执行将在接口上配置多个 CAR 策略 本只对 IP 数据包进行处理, 对其他的数据包不进行处理 请在接口视图下进行下列配置 表 2-2 应用 CAR 策略 应用 CAR 策略 删除 CAR 策略 qos car { inbound outbound } { any acl acl-number carl carl-index } cir committed-information-rate cbs committed-burst-size ebs excess-burst-size green action red action undo qos car { inbound outbound } { any acl acl-number carl carl-index } cir committed-information-rate cbs committed-burst-size ebs excess-burst-size 其中,CIR 不能超过 CBS 20 中对数据包采取的动作 (action) 有以下几种 : continue: 继续由下一个 CAR 策略处理 discard: 丢弃数据包 pass: 发送数据包 remark-prec-continue new-precedence : 设置新的 IP 优先级 new-precedence, 并继续由下一个 CAR 策略处理, 取值范围 0~7 remark-prec-pass new-precedence: 设置新的 IP 优先级 new-precedence, 并发送数据包到目的地址, 取值范围 0~7 2-6

14 H3C SecPath 系列安全产品手册 (QoS) 第 2 章流分类 流量监管和流量整形 CAR 策略可以应用于报文到达的接口, 也可应用于报文离开的接口 流量整形配置为某一类流或所有的流设置整形参数就可以使系统开始进行整形 qos gts acl 用来为符合某一 ACL 的流设置整形参数, 使用不同的 ACL 可以为不同的流设置整形参数 qos gts any 用来为所有的流设置整形参数, 重复使用将替代原来的设置 qos gts acl 不能和 qos gts any 同时使用 请在接口视图下进行下列设置 表 2-3 为某一类别的流或所有流设置整形参数 为某一类别的流设置整形参数 qos gts { any acl acl-number } cir committed-information-rate [ cbs committed-burst-size [ ebs excess-burst-size [ queue-length queue-length ] ] ] 取消对某一类别的流整形 undo qos gts { any acl acl-number } 接口限速配置配置接口限速就是限制物理接口向外发送数据的速率 请在接口视图下进行下列配置 表 2-4 设置接口限速 设置接口限速 取消接口限速 qos lr cir committed-information-rate [ cbs committed-burst-size [ ebs excess-burst-size ] ] undo qos lr 2.4 流量监管与流量整形显示和调试 显示 TP 规则 在完成上述配置后, 在所有视图下执行 display 可以显示 TP 的某条规则或所 有访问规则, 通过查看显示信息验证配置的效果 2-7

15 H3C SecPath 系列安全产品手册 (QoS) 第 2 章流分类 流量监管和流量整形 表 2-5 显示 TP 规则 显示 TP 规则 display qos carl [ carl-index ] 显示接口的 TP 配置情况和统计信息在完成上述配置后, 在所有视图下执行 display 可以显示 TP 在各接口上的参数设置情况和运行统计信息, 通过查看显示信息验证配置的效果 表 2-6 显示接口的 TP 配置情况和统计信息 显示接口的 TP 配置情况和统计信息 display qos car interface [ interface-type interface-number ] 显示接口的 TS 配置情况和统计信息在完成上述配置后, 在所有视图下执行 display 可以显示某个接口或所有接口的 TS 配置情况和统计信息, 通过查看显示信息验证配置的效果 表 2-7 显示接口的 TS 配置情况和统计信息 显示接口的 TS 配置情况和统计信息 display qos gts interface [ interface-type interface-number ] 显示接口的 LR 配置情况和统计信息在完成上述配置后, 在所有视图下执行 display 可以显示某个接口或所有接口的 LR 配置情况和统计信息, 通过查看显示信息验证配置的效果 表 2-8 显示接口的 LR 配置情况和统计信息 显示接口的 LR 配置情况和统计信息 display qos lr interface [ interface-type interface-number ] 2-8

16 H3C SecPath 系列安全产品手册 (QoS) 第 2 章流分类 流量监管和流量整形 2.5 流量监管与流量整形典型配置举例 1. 配置需求如图 2-5 所示,SecPath1 通过接口 ethernet0/0/0 和 SecPath2 的接口 ethernet1/0/0 互连,Server PC1 PC2 可经由 SecPath1 和 SecPath2 访问 Internet Server PC1 与 SecPath1 的 ethernet1/0/0 接口在同一网段,PC2 与 SecPath1 的 ethernet2/0/0 接口在同一网段 要求在 SecPath2 上对接口 ethernet1/0/0 接收到的源自 Server 和 PC1 的报文流分别实施流量控制如下 : 来自 server 的报文流量约束为 54000bps, 流量小于 54000bps 时可以正常发送, 流量超过 54000bps 时则将违规报文的优先级设置为 0 后进行发送 ; 来自 PC 的报文流量约束为 8000bps, 流量小于 8000bps 时可以正常发送, 流量超过 8000bps 时则丢弃违规报文 ; 同时, 对 SecPath2 的 ethernet 1/0/0 和 ethernet 0/0/0 接口收发报文有如下要求 : SecPath2 的 ethernet 1/0/0 接口接收报文的总流量限制为 0.5Mbps, 如果超过流量限制则将违规报文丢弃 ; 经由 SecPath2 的 ethernet 0/0/0 接口进入 Internet 的报文流量限制为 1Mbps, 如果超过流量限制则将违规报文丢弃 2. 组网图 Server PC1 SecPath2 Internet / /8 ethernert1/0/ 0 ethernet0/0/0 ethernert1/0/0 SecPath1 ethernet0/0/0 PC2 ethernert2/0/0 图 2-5 流量监管 流量整形配置组网图 3. 配置步骤 (1) 配置 SecPath1: # 在 SecPath1 的 ethernet0/0/0 接口上配置 TS, 对该接口发送的报文进行流量整形 ( 对超过 0.5Mbps 的报文流进行整形 ), 以降低在 SecPath2 接口 ethernet1/0/0 处的丢包率 [H3C] interface ethernet0/0/0 2-9

17 H3C SecPath 系列安全产品手册 (QoS) 第 2 章流分类 流量监管和流量整形 [H3C-Ethernet0/0/0] qos gts any cir (2) 配置 SecPath2: # 配置 ACL 规则列表, 分别匹配来源于 Server 和 PC1 的报文流 [H3C] acl number 2001 [H3C-acl-basic-2001] rule permit source [H3C] acl number 2002 [H3C-acl-basic-2002] rule permit source # 在 ethernet1/0/0 接口上进行 TP 配置, 对 ethernet1/0/0 接收到的不同报文流进行相应流量控制 [H3C] interface ethernet1/0/0 [H3C-Ethernet1/0/0] qos car inbound acl 2001 cir cbs ebs 0 green pass red remark-prec-pass 0 [H3C-Ethernet1/0/0] qos car inbound acl 2002 cir cbs ebs 0 green pass red discard [H3C-Ethernet1/0/0] qos car inbound any cir cbs ebs 0 green pass red discard # 在 ethernet0/0/0 接口上进行 TP 配置, 对由 Ethernet 0/0/0 接口发送的报文进行流量控制, 报文流量不能超过 1Mbps, 如果超过流量限制则将违规报文丢弃 [H3C] interface ethernet0/0/0 [H3C-Ethernet0/0/0] qos car outbound any cir cbs ebs 0 green pass red discard 2-10

18 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 第 3 章拥塞管理 3.1 拥塞管理简介 对于网络单元, 当分组到达的速度大于该接口发送分组的速度时, 在该接口处就会产生拥塞 如果没有足够的存储空间来保存这些分组, 其中的一部分就会丢失 分组的丢失又可能会导致发送该分组的主机或路由器因超时而重传此分组, 这将导致恶性循环 拥塞管理的中心内容就是当拥塞发生时如何制定一个资源的调度策略, 决定报文转发的处理次序 拥塞管理策略对于拥塞管理, 一般采用排队技术, 使用一个队列算法对流量进行分类, 之后用某种优先级别算法将这些流量发送出去 每种队列算法都是用以解决特定的网络流量问题, 并对带宽资源的分配 延迟 延迟抖动等有着十分重要的影响 这里介绍几种常用的队列调度机制 1. FIFO( 先进先出队列,First-In First-Out Queuing) 需由此接口发送的分组 发送的分组 队列 接口 发送的队列 图 3-1 先进先出队列示意图 如上图所示,FIFO 按照时间到达的先后决定分组的转发次序 用户的业务流在防火墙能够获得的资源取决于分组的到达时机及当时的负载情况 Best-Effort 报文投递方式采用的就是 FIFO 的排队策略 如果防火墙的每个端口只有一个基于 FIFO 的输入或输出队列, 那么恶性的应用可能会占用所有的网络资源, 严重影响关键业务数据的传送 每个队列内部报文的发送 ( 次序 ) 关系默认是 FIFO 3-1

19 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 2. PQ( 优先队列,Priority Queuing) 需由此接口发送的分组 top queue middle queue 发送的分组 normal queue 分类 bottom queue 调度 发送队列 图 3-2 优先队列示意图 PQ 队列是针对关键业务应用设计的 关键业务有一个重要的特点, 即在拥塞发生时要求优先获得服务以减小响应的延迟 PQ 可以根据网络协议 ( 比如 IP,IPX) 数据流入接口 报文长短 源地址 / 目的地址等灵活地指定优先次序 优先队列将报文分成 4 类, 分别为高优先队列 (top) 中优先队列(middle) 正常优先队列(normal) 和低优先队列 (bottom), 它们的优先级依次降低 缺省情况下, 缺省数据流进入 normal 队列 在队列调度时,PQ 严格按照优先级从高到低的次序, 优先发送较高优先级队列中的分组, 当较高优先级队列为空时, 再发送较低优先级队列中的分组 这样, 将关键业务的分组放入较高优先级的队列, 将非关键业务的分组放入较低优先级的队列, 可以保证关键业务的分组被优先传送, 非关键业务的分组在处理关键业务数据的空闲间隙被传送 PQ 的缺点是如果较高优先级队列中长时间有分组存在, 那么低优先级队列中的报文将可能一直得不到服务 3. CQ( 定制队列,Custom Queuing) 需由此接口发送的分组 queue1 queue2 10% 30% 发送的分组 分类 queue15 10% 调度 发送队列 queue16 5% 图 3-3 定制队列示意图 3-2

20 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 CQ 按照一定的规则将分组分成 17 类 ( 对应于 17 个队列 ), 分组根据自己的类别按照先进先出的策略进入相应的 CQ 队列 在 CQ 的 17 个队列中,0 号队列是系统队列 ( 图中未画出 ), 不允许用户配置 ;1 到 16 号队列是用户队列, 如图 3-3 所示 用户可以配置流分类的规则, 指定 16 个用户队列占用接口带宽的比例关系 在队列调度时, 系统队列中的分组被优先发送 直到系统队列为空, 再采用轮询的方式按照预先配置的带宽比例依次从 1 到 16 号用户队列中取出一定数量的分组发送出去 这样, 就可以使不同业务的分组获得不同的带宽, 既可以保证关键业务能获得较多的带宽, 又不至于使非关键业务得不到带宽 缺省情况下, 缺省数据流进入 1 号队列 定制队列的另一个优点是 : 可根据业务的繁忙程度分配带宽, 适用于对带宽有特殊需求的应用 虽然 16 个用户队列的调度是轮询进行的, 但对每个队列不是固定地分配服务时间片 如果某个队列为空, 那么马上换到下一个队列调度 因此, 当没有某些类别的报文时,CQ 调度机制能自动增加现存类别的报文可占的带宽 4. WFQ( 加权公平队列,Weighted Fair Queuing) 需由此接口发送的分组 queue1 weight1 queue2 weight2 发送的分组 分类 queuen-1 weightn-1 调度 发送的队列 queuen weightn 图 3-4 加权公平队列示意图 在介绍加权公平队列前, 先要理解公平队列 FQ(Fair Queue) FQ 是为了公平地分享网络资源, 尽可能使所有流的迟延和延迟抖动达到最优而推出的 它照顾了各方面的利益, 主要表现在 : 不同的队列获得公平的调度机会, 从总体上均衡各个流的延迟 短报文和长报文获得公平的调度 : 如果不同队列间同时存在多个长报文和短报文等待发送, 应当顾及短报文的利益, 让短报文优先获得调度, 从而在总体上减少各个流的报文间的延迟抖动 与 FQ 相比,WFQ 在计算报文调度次序时增加了优先权方面的考虑 从统计上, WFQ 使高优先权的报文获得优先调度的机会多于低优先权的报文 WFQ 能够按流的 会话 信息 ( 协议类型 源和目的 TCP 或 UDP 端口号 源和目的 IP 地址 ToS 域中的优先级位等 ) 自动进行流分类, 并且尽可能多地提供队列, 以将每个流均匀地放入不同队列中, 从而在总体上均衡各个流的延迟 在出队的时候,WFQ 按流的 3-3

21 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 优先级 (precedence) 来分配每个流应占有出口的带宽 优先级的数值越大, 所得的带宽越多 例如 : 接口中当前共有 5 个流, 它们的优先级分别为 , 则带宽总配额为所有 ( 流的优先级 +1) 的和 即 = 15 每个流所占带宽比例为 :( 自己的优先级数 + 1)/( 所有 ( 流的优先级 + 1) 的和 ) 即每个流可得的带宽分别为 :1/15,2/15,3/15,4/15,5/15 由于 WFQ 在拥塞发生时能均衡各个流的延迟和延迟抖动, 所以 WFQ 在一些特殊场合得到了有效的应用 比如在使用资源预留协议 RSVP(Resource Reservation Protocol) 的保证型业务中, 通常就是采用 WFQ 作为调度策略 ; 在流量整形 TS 中, 也采用 WFQ 调度缓存的报文 5. CBQ( 基于类的队列,Class Based Queue) CBQ 是对 WFQ 功能的扩展, 为用户提供了定义类的支持 CBQ 为每个用户定义的类分配一个单独的 FIFO 预留队列, 用来缓冲同一类的数据 在网络拥塞时,CBQ 对输出报文根据用户定义的类规则进行匹配, 并使其进入相应的队列, 在入队列之前必须进行拥塞避免机制 ( 尾部丢弃或 WRED,Weighted Random Early Detection, 加权随机早期检测 ) 和带宽限制的检查 在报文出队列时, 加权公平调度每个类对应的队列中的报文 CBQ 提供一个紧急队列, 紧急报文入紧急队列, 该紧急队列采用 FIFO 调度, 没有带宽限制 这样, 如果 CBQ 加权公平对待所有类的队列, 语音报文这类对延迟敏感的数据流就可能不能及时发送 为此将 PQ 特性引入 CBQ, 称其为 LLQ(Low Latency Queueing, 低延迟队列 ), 为语音报文这样的对延迟敏感的数据流提供严格优先发送服务 LLQ 将严格优先队列机制与 CBQ 结合起来使用, 用户在定义类时可以指定其享受严格优先服务, 这样的类称作优先类 所有优先类的报文将进入同一个优先队列, 在入队列之前需对各类报文进行带宽限制的检查 报文出队列时, 将首先发送优先队列中的报文, 直到发送完后才发送其他类对应的队列的报文 在发送其他队列报文时将仍然按照加权公平的方式调度 为了不让其他队列中的报文延迟时间过长, 在使用 LLQ 时将会为每个优先类指定可用最大带宽, 该带宽值用于拥塞发生时监管流量 如果拥塞未发生, 优先类允许使用超过分配的带宽 如果拥塞发生, 优先类超过分配带宽的数据包将被丢弃 LLQ 还可以指定 Burst-size 系统在为报文匹配规则时, 总是先匹配优先类, 然后再匹配其他类 对多个优先类, 按照配置顺序逐一匹配 ; 对其他类, 也是按照配置顺序逐一匹配 对类中多个规则, 按照配置顺序逐一匹配 3-4

22 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 6. RTP(Real-time Transport Protocol) 优先队列 RTP 优先队列是一种解决实时业务 ( 包括语音与视频业务 ) 服务质量的简单的队列技术 其原理就是将承载语音或视频的 RTP 报文送入高优先级队列, 使其得到优先发送, 保证时延和抖动降低为最低限度, 从而保证了语音或视频这种对时延敏感业务的服务质量 需由此接口发送的分组 RTP 队列 优先出队 发送的分组 分类 其它队列机制, 如 : PQ CQ WFQ 调度 发送的队列 图 3-5 RTP 队列示意图 如上图所示,RTP 优先队列将 RTP 报文送入一个具有较高优先级的队列 RTP 报文是端口号在一定范围内为偶数的 UDP 报文, 端口号的范围可以配置 RTP 优先队列可以同任何一种队列 ( 包括 FIFO PQ CQ WFQ 与 CBQ) 结合使用, 而它的优先级是最高的 但由于 CBQ 中的 LLQ 也可以解决实时业务, 所以一般不推荐将 RTP 优先队列与 CBQ 结合应用 拥塞管理技术的对比 SecPath 防火墙提供了以上拥塞管理技术 突破了传统 IP 设备的单一 FIFO 拥塞管理策略, 提供了强大的 QoS 能力, 使得 IP 设备可以满足不同业务所要求的不同服务质量的要求 为了更好的利用拥塞管理技术, 现对各种队列技术做一比较 表 3-1 拥塞管理技术对比类型队列数优点缺点 FIFO 1 1 不需要配置, 易于使用 2 处理简单, 延迟小 1 所有的报文, 无论紧急与否, 语音还是数据, 均进入一个 先进先出 的队列, 发送报文所占用的带宽 延迟时间 丢失的概率均由报文到达队列的先后顺序决定 2 对不配合的数据源( 即没有流控机制的流, 如 UDP 报文发送 ) 无约束力, 不配合的数据源会造成配合的数据源 ( 如 TCP 报文发送 ) 带宽受损失 3 对时间敏感的实时应用 ( 如 VoIP) 的延迟得不到保证 3-5

23 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 类型队列数优点缺点 PQ 4 CQ 16 可对不同业务的数据提供绝对的优先, 对时间敏感的实时应用 ( 如 VoIP) 的延迟可以得到保证 对优先业务的报文的带宽占用可以绝对优先 1 可对不同业务的报文按带宽比例分配带宽 2 当没有某些类别的报文时, 能自动增加现存类别的报文可占的带宽 1 需配置, 系统开销大 2 如果不对高优先级的报文的带宽加限制, 会造成低优先级的报文得不到带宽 需配置, 系统开销大 1 配置容易 2 可以保护配合 ( 交互 ) 的数据源 ( 如 TCP 报文发送 ) 的带宽 WFQ 可配置 3 可以减小延迟抖动 4 可以减小数据量小的交互式应用的延迟 系统开销比 FIFO 要大, 但比 PQ CQ 要小 5 可以为不同优先级的流分配不同的带宽 6 当流的数目减少时, 能自动增加现存流可占的带宽 1 可以对数据根据灵活 多样的分类规则进行划分, 分别为 EF( 加速转发 ) AF( 确保转发 ) BE( 尽力转发 ) 业务提供不同的队列调度机制 CBQ 可配置 (0~ 64) 2 可以为 AF 业务提供严格 精确的带宽保证, 并且保证各类 AF 业务之间根据权值按一定的比例关系进行队列调度 3 可以为 EF 业务提供绝对优先的队列调度, 确保实时数据的时延 ; 同时通过对高优先级数据流量的限制, 克服了 PQ 的低优先级队列可能 饿死 的弊病 系统开销大 4 对于尽力转发的缺省类数据, 提供 WFQ 队列调度 3.2 先进先出队列的配置 先进先出队列 FIFO 的配置包括 : 配置 FIFO 队列的长度 3-6

24 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 配置 FIFO 队列的长度 FIFO 是接口缺省使用的队列调度机制, 可以通过配置改变其队列长度 请在接口视图下进行下列配置 表 3-2 配置 FIFO 队列的长度 配置 FIFO 队列的长度 恢复 FIFO 队列的缺省长度 qos fifo queue-length queue-length undo fifo queue-length FIFO 队列的缺省长度为 优先队列的配置 优先队列 PQ 的配置包括 : 配置优先列表 在接口上应用优先列表组 配置优先列表 1. 根据网络层协议配置优先列表根据协议类型对分组进行分类, 使之进入不同的队列 对于同一个 pql-index, 本的重复使用可以为 pql-index 建立多个规则 系统以规则被配置的顺序来匹配分组, 如果发现分组与某个规则匹配, 便结束整个查找过程 请在系统视图下进行下列配置 表 3-3 根据网络层协议配置优先列表 根据网络层协议配置优先列表 删除 pql-index 中相应的分类规则 qos pql pql-index protocol ip [ queue-key key-value ] queue { top middle normal bottom } undo qos pql pql-index protocol ip [ queue-key key-value ] 2. 根据分组来自的接口配置优先列表 根据分组来自的防火墙接口进行分类, 使之进入不同的队列 请在系统视图下进行下列配置 3-7

25 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 表 3-4 根据接口配置优先列表 根据分组来自的接口配置优先列表 删除 pql-index 中相应的分类规则 qos pql pql-index inbound-interface interface-type interface-number queue { top middle normal bottom } undo qos pql pql-index inbound-interface interface-type interface-number 3. 配置缺省队列为不与任何规则匹配的包指定一个缺省队列 请在系统视图下进行下列配置 表 3-5 配置缺省队列 配置缺省队列 恢复缺省队列的缺省值 qos pql pql-index default-queue { top middle normal bottom } undo qos pql pql-index default-queue 可以给一个优先列表的组定义多条规则, 然后把该组规则应用在某接口上 当一个分组到达该接口时 ( 需要由此接口传送出去 ), 系统沿规则链匹配该分组, 如果匹配上某规则, 则进入相应的队列, 匹配结束 ; 如果分组不与任何规则匹配, 则进入缺省队列 缺省队列的缺省值为 normal 4. 配置队列长度设置各队列的长度 ( 即队列所能容纳的分组的个数 ) 请在系统视图下进行下列配置 表 3-6 配置队列长度 配置队列长度 形式恢复各队列长度的缺省值 qos pql pql-index queue { top middle normal bottom } queue-length queue-length undo qos pql pql-index queue { top middle normal bottom } queue-length 各队列的缺省长度如下表所示 3-8

26 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 表 3-7 队列缺省长度 队列 长度 top 20 middle 40 normal 60 bottom 在接口上应用优先列表组将一组优先列表应用到接口上 对于同一个接口, 本的重复使用将为接口设定新的优先列表组 请在接口视图下进行下列配置 表 3-8 在接口上应用优先列表组 在接口上应用优先列表组 取消使用 PQ qos pq pql pql-index undo qos pq 缺省情况下, 接口不使用 PQ, 而使用 FIFO 优先队列的显示和调试在完成上述配置后, 在所有视图下执行 display 可以显示优先列表及在接口上的应用情况, 通过查看显示信息验证配置的效果 表 3-9 显示优先列表及在接口上的应用情况 显示优先列表的状态 display qos pql [ pql-index ] 显示接口上优先列表的配置情况 display qos pq interface [ interface-type interface-number ] 3.4 定制队列的配置 定制队列 CQ 的配置包括 : 配置定制列表 在接口上应用定制列表组 3-9

27 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 配置定制列表定制列表共可分为 16 个组 (1~16), 每个组指明了什么样的分组进入什么样的队列 各队列的长度和每次轮询各队列所能连续发送的字节数等信息 在一个接口上只能应用一个定制列表组 1. 根据网络层协议配置定制列表根据协议类型对分组进行分类, 使之进入不同的队列 目前,Comware 只支持对 IP 报文进行分类 请在系统视图下进行下列配置 表 3-10 根据网络层协议配置定制列表 根据网络层协议配置定制列表 删除 cql-index 中相应的分类规则 qos cql cql-index protocol ip [ queue-key key-value ] queue queue-number undo qos cql cql-index protocol ip [ queue-key key-value ] 2. 根据分组来自的接口配置定制列表组建立基于接口的分类规则 对于同一个 cql-index, 本的重复使用可以为 cql-index 增加新的规则 请在系统视图下进行下列配置 表 3-11 根据接口配置定制列表组 根据分组来自的接口配置定制列表组 删除 cql-index 中相应的分类规则 qos cql cql-index inbound-interface interface-type interface-number queue queue-number undo qos cql cql-index inbound-interface interface-type interface-number 3. 配置缺省队列为那些不与任何规则匹配的分组指定一个缺省队列 请在系统视图下进行下列配置 表 3-12 配置缺省队列 配置缺省队列 恢复缺省队列的缺省值 qos cql cql-index default-queue queue-number undo qos cql cql-index default-queue 3-10

28 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 我们可以给一个定制列表的组定义多条规则, 然后把该组应用在某接口上 当一个分组到达该接口时 ( 由此接口传送出去 ), 系统沿规则链匹配该分组, 如果匹配上某规则, 则进入相应的队列, 匹配结束 ; 如果分组不与任何规则匹配, 则进入缺省队列 缺省队列的缺省值为 1 4. 配置队列长度设置各定制队列的长度 ( 即队列所能容纳的分组的个数 ) 请在系统视图下进行下列配置 表 3-13 配置队列长度 配置队列长度 恢复各队列长度的缺省值 qos cql cql-index queue queue-number queue-length queue-length undo qos cql cql-index queue queue-number queue-length 其中 :queue-length 为队列的最大长度, 缺省值为 配置队列连续发送字节数设置各队列每次轮询所发送分组的字节数 请在系统视图下进行下列配置 表 3-14 配置队列连续发送字节数 配置连续发送字节数 恢复发送字节数的缺省值 qos cql cql-index queue queue-number serving byte-count undo qos cql cql-index queue queue-number serving 其中 : byte-count: 当防火墙调度 CQ 的用户队列时, 它连续从这个队列中取出分组进行发送, 直到发送的字节数不少于为该队列配置的 byte-count 的值或者队列为空, 再转而调度 CQ 的下一个用户队列 因此,byte-count 的值会影响 CQ 各用户队列之间占用接口带宽的比例关系, 并且决定了多长时间防火墙才会调度 CQ 的下一个队列 byte-count 的缺省字节数为 1500 如果 byte-count 的值过小, 由于防火墙每次至少发送一个分组才会转向下一个队列, 各个队列实际获得的带宽很可能与预想的效果相差甚远 ; 如果 byte-count 值过大, 则可能会造成队列间切换延迟太大 3-11

29 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 在接口上应用定制列表 请在接口视图下进行下列配置 表 3-15 在接口上应用定制列表 在接口上应用定制列表 取消使用 CQ qos cq cql cql-index undo qos cq 缺省情况下, 接口不使用 CQ, 而使用 FIFO 定制队列的显示和调试在完成上述配置后, 在所有视图下执行 display 可以显示定制列表状态及在接口上的应用情况, 通过查看显示信息验证配置的效果 表 3-16 显示定制列表状态及在接口上的应用情况 显示定制列表状态 display qos cql [ cql-index ] 显示定制列表在接口上应用情况 display qos cq interface [ interface-type interface-number ] 3.5 加权公平队列的配置 加权公平队列 WFQ 的配置包括 : 在接口上应用加权公平队列 在接口上应用加权公平队列 WFQ 对报文按流进行分类, 对于 IP 网络, 五元组 ( 源 IP 地址 目的 IP 地址 源端口号 目的端口号 协议号 ) 和 IP 优先级或者 DSCP 相同的报文属于同一个流 在接入层的网络中, 通常使用 IP 优先级和五元组配合进行流分类 ; 在汇聚层网络中通常使用 DSCP 值和五元组配合进行流分类 WFQ 默认是使用 IP 优先级和五元组配合进行流分类, 用户可以通过下面来做出选择 当接口没有使用 WFQ 策略时, 使用本可以使接口使用 WFQ 策略, 同时可指定 WFQ 的参数 如果接口已经使用了 WFQ 策略, 使用本可以修改 WFQ 的参数 请在接口视图下进行如下配置 3-12

30 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 表 3-17 使用加权公平队列或修改 WFQ 的参数 使用加权公平队列或修改 WFQ 的参数 取消使用 WFQ qos wfq [ precedence dscp ] [ queue-length max-queue-length [ queue-number total-queue-number ] ] undo qos wfq 缺省情况下, 接口不使用 WFQ, 而使用 FIFO total-queue-number: 队列的总数目, 可取的值为 : , 缺省值为 256 注意 : Dialer 口上可以应用 WFQ 队列, 但是只有当物理接口上配置为缺省队列,WFQ 队列才能成功应用到 Dialer 口上 在 Dialer 口上应用队列配置时, 如果和 Dialer 口绑定的物理接口已经和相连的设备建立了连接, 则 Dialer 口上的配置无法马上更新到该物理接口上 只有当物理接口再次建立连接时,Dialer 口上的配置才能更新到该物理接口上 加权公平队列的显示和调试在完成上述配置后, 在所有视图下执行 display 可以显示接口加权公平队列的配置情况和统计信息, 通过查看显示信息验证配置的效果 表 3-18 显示接口加权公平队列的配置情况和统计信息 显示接口加权公平队列的配置情况和统计信息 display qos wfq interface [ interface-type interface-number ] 3.6 基于类的队列的配置 基于类的队列 CBQ 的配置包括 : 配置接口最大可用带宽 定义类, 并在类视图中定义一组流分类规则 定义流行为, 并在流行为视图中定义一组 QoS 特性 定义策略, 在策略视图下为使用的类中指定对应的流行为 在接口视图下应用 QoS 策略 3-13

31 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 为方便用户使用, 系统预定义了一些类 流行为以及策略, 具体如下 1. 系统预定义的类系统预定义了一些类, 并为这些类定义了通用的规则, 用户定义策略时可直接使用这些类, 这些类包括 : (1) 缺省类 default-class: 匹配的是缺省数据流 (2) 基于 DSCP 的预定义类 ef af1 af2 af3 af4: 分别匹配 IP DSCP 值 ef af1 af2 af3 af4 (3) 基于 IP 优先级的预定义类 ip-prec0,ip-prec1, ip-prec7: 分别匹配 IP 优先级 0,1, 7 (4) 基于 MPLS EXP 的预定义类 mpls-exp0,mpls-exp1, mpls-exp7: 分别匹配 MPLS EXP 值 0,1, 7 2. 系统预定义的流行为系统预定义了一些流行为, 并为这些流行为定义了 QoS 特性 : (1) ef: 定义了一个特性为入 EF 队列, 占用带宽为接口可用带宽的 20% (2) af: 定义了一个特性为入 AF 队列, 占用带宽为接口可用带宽的 20% (3) be: 不定义任何特性 3. 系统预定义的策略系统预定义了一个策略, 为该策略指定了使用的预定义类, 并为这些类指定预定义的动作 该策略名为 default, 具有缺省的 CBQ 动作 default 策略的具体规则如下 : (1) 预定义类 ef, 采用预定义流行为 ef (2) 预定义类 af1~af4, 采用预定义流行为 af (3) default-class 类, 采用预定义流行为 be 配置接口最大可用带宽该带宽指 CBQ 中报文入队列带宽检查时使用的最大接口带宽, 并非指物理接口的实际带宽 请在接口视图下进行下列配置 3-14

32 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 表 3-19 配置 MP 绑定带宽 配置本接口的带宽 恢复本接口的带宽缺省值 qos max-bandwidth bandwidth undo qos max-bandwidth bandwidth 是接口的可用带宽, 单位 Kbps, 范围为 1 到 缺省情况下, 对于物理接口, 其取值为物理接口实际的波特率或速率 ; 对于虚拟接口模板 (Virtual Template) VE 等逻辑接口, 取值为 64Kbps 建议该值小于物理接口或逻辑链路的实际可用带宽 注意 : 如果接口上同时配置了 LR 和百分比类型的 CBQ, 请将此中设置的带宽与 LR 的限制速率保持一致 定义类并配置其匹配规则定义类首先要创建一个类名称, 然后在此类视图下配置其匹配规则 1. 定义类并进入类视图请在系统视图下进行下列配置 表 3-20 定义一个类并进入类视图 定义类并进入类映射视图 traffic classifier tcl-name [ operator { and or } ] 删除类并进入类映射视图 undo traffic classifier tcl-name 用户定义的类名 tcl-name 不允许为系统预定义类 缺省为 and, 即类视图下各匹配规则之间的关系为逻辑与 2. 定义或删除匹配所有数据包的规则请在类视图下进行下列配置 表 3-21 定义或删除匹配所有数据包的规则 定义匹配所有数据包的规则 删除匹配所有数据包的规则 if-match [ not ] any undo if-match [ not ] any 3-15

33 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 3. 定义或删除 classifier 匹配规则 请在类视图下进行下列配置 表 3-22 定义或删除 classifier 匹配规则 定义 classifier 匹配规则 删除 classifier 匹配规则 if-match [ not ] classifier tcl-name undo if-match [ not ] classifier tcl-name 该不能递归使用, 例如,traffic classifier A 定义了匹配 traffic classifier B 的规则,traffic classifier B 不能再直接或者间接的引用 traffic classifier A 4. 定义或删除 ACL 匹配规则定义 ACL 匹配规则 请在类视图下进行下列配置 表 3-23 定义或删除 ACL 匹配规则 定义 ACL 匹配规则 删除 ACL 匹配规则 if-match [ not ] acl access-list-number undo if-match [ not ] acl access-list-number 5. 定义或删除 MAC 地址匹配规则 请在类视图下进行下列配置 表 3-24 定义或删除 MAC 地址匹配规则 定义 MAC 地址匹配规则 删除 MAC 地址匹配规则 if-match [ not ] { destination-mac source-mac } mac-address undo if-match [ not ] { destination-mac source-mac } mac-address 目的 MAC 地址匹配规则只对出方向的策略有意义, 并且只对以太类型的接口有意义 源 MAC 地址匹配规则只对入方向的策略有意义, 并且只对以太类型的接口有意义 6. 定义或删除类的入接口匹配规则请在类视图下进行下列配置 3-16

34 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 表 3-25 定义或删除类的入接口匹配规则 定义类的入接口匹配规则 删除类的入接口匹配规则 if-match [ not ] inbound-interface type number undo if-match [ not ] inbound-interface type number 匹配的接口删除时, 该规则自动删除 7. 定义或删除 DSCP 匹配规则 DSCP(Differentiated Services CodePoint, 差分服务编码点 ) 是 IETF DiffServ 工作组将 IP 报文头 ToS 字节的高 6 位重新定义的域,ToS 字节因而也改名为 DS 字节 在 DiffServ 方案中, 在网络入口处根据服务要求对业务进行分类 流量控制, 同时设置 DSCP, 在网络中将依据分组的 DSCP 值来区分每一类通信并为之服务 ( 包括资源分配 分组丢弃策略等 ) 用户可以根据 DSCP 值来设置分类的匹配规则 请在类视图下进行下列配置 表 3-26 定义或删除 DSCP 匹配规则 定义 DSCP 匹配规则 if-match [ not ] dscp { dscp-value } 删除 DSCP 匹配规则 undo if-match [ not ] dscp { dscp-value } 8. 定义或删除 IP 优先值匹配规则 请在类视图下进行下列配置 表 3-27 定义或删除 IP 优先值匹配规则 定义 IP 优先值匹配规则 删除 IP 优先值匹配规则 if-match [ not ] ip-precedence { ip-precedence-value } undo if-match [ not ] ip-precedence 配置时将需要配置的 IP 优先值用一条进行配置, 否则最后配置的 if-match ip-precedence 会覆盖前面的配置 9. 定义或删除 RTP 协议端口匹配规则请在类视图下进行下列配置 3-17

35 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 表 3-28 定义或删除 RTP 协议端口匹配规则 定义 RTP 协议端口匹配规则 删除 RTP 协议端口匹配规则 if-match [ not ] rtp start-port starting-port-number end-port end-port-number undo if-match [ not ] rtp start-port starting-port-number end-port end-port-number 由于 RTP 队列优先于 CBQ, 所以如果同时配置了 RTP 队列与基于匹配 RTP 协议的类的调度队列, 只有 RTP 队列生效 10. 定义或删除协议匹配规则请在类视图下进行下列配置 表 3-29 定义或删除协议匹配规则 定义协议匹配规则 删除协议匹配规则 if-match [ not ] protocol protocol-name undo if-match [ not ] protocol protocol-name 其中 protocol-name 为 IP 协议 定义流行为并配置其特性定义流行为首先需要创建一个流行为名称, 然后在此流行为视图下配置其特性 1. 定义流行为并进入流行为视图请在系统视图下进行下列配置 表 3-30 定义一个流行为并进入流行为视图 定义一个流行为并进入流行为视图 删除流行为 traffic behavior behavior name undo traffic behavior behavior name behavior-name: 流行为名, 不允许为系统预定义流行为 2. 配置确保转发 (AF), 并配置最小可保证带宽 请在流行为视图下进行下列配置 3-18

36 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 表 3-31 配置确保转发 (AF), 并配置最小可保证带宽 配置确保转发 (AF), 并配置最小可保证带宽 删除确保转发配置 queue af bandwidth { bandwidth pct percentage } undo queue af 该行为只能应用在接口的出方向 在同一策略下需要用同一单位配置 queue ef 和 queue af, 或者用 bandwidth, 或者用百分比进行配置 3. 配置加速转发 (EF), 并配置至少保证的最大带宽请在流行为视图下进行下列配置 表 3-32 配置加速转发 (EF), 并配置至少保证的最大带宽 配置加速转发 (EF), 并配置至少保证的最大带宽 取消该配置 queue ef bandwidth { bandwidth [ cbs committed-burst-size ] pct percentage [ cbs_ratio ratio] } undo queue ef 该在流行为视图下不能与 queue af,queue-length,wred 同时使用 缺省类不能与包含该的行为关联 在同一策略下各个类需用同一单位配置 queue ef 和 queue af, 或者用 bandwidth, 或者用百分比进行配置 4. 配置采用公平队列请在流行为视图下进行下列配置 表 3-33 配置采用公平队列 配置采用公平队列 queue wfq [ queue-number total-queue-number ] 取消采用公平队列的配置 undo queue wfq 配置了该特性的流行为仅可以与缺省类关联使用 5. 配置最大队列长度配置最大队列长度, 丢弃方式为尾丢弃 请在流行为视图下进行下列配置 3-19

37 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 表 3-34 配置最大队列长度 配置最大队列长度 取消最大队列长度的配置 queue-length queue-length undo queue-length 该必须在配置了 queue af 和 queue wfq 后使用 ; 执行 undo queue af 或 undo queue wfq, 则 queue-length 也同时被取消 如果是缺省类, 必须在配置了 queue af 或 queue wfq 后使用 6. 配置丢弃方式为随机丢弃方式请在流行为视图下进行下列配置 表 3-35 配置丢弃方式为随机丢弃方式 配置丢弃方式为随机丢弃方式 wred [ dscp ip-precedence ] 恢复缺省配置 undo wred dscp: 表明在为一个包计算丢弃概率时使用的是 DSCP 值 ip-precedence: 表明在为一个包计算丢弃概率时使用的是 IP 优先级值, 作为缺省配置 该必须在配置了 queue af 或 queue wfq 后使用 wred 和 queue-length 是互斥的 删除时将删除在该随机丢弃下的其他配置 当接口上应用了包含 WRED 特性的 QoS 策略后, 原有的接口级的 WRED 配置失效 缺省类 default-class 只能与配置基于 IP 优先级的随机丢弃方式的行为关联 7. 设置 WRED 计算平均队列长度的指数请在流行为视图下进行下列配置 表 3-36 设置 WRED 计算平均队列长度的指数 配置 WRED 计算平均队列长度的指数 取消 WRED 计算平均队列长度的指数的配置 wred weighting-constant exponent undo wred weighting-constant 需配置了 queue af 或 queue wfq, 并已用 wred 使能了 WRED 丢弃方式后才可以配置该 3-20

38 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 8. 配置 WRED 各 DSCP 的下限 上限和丢弃概率分母 请在流行为视图下进行下列配置 表 3-37 设置 WRED 各 DSCP 的下限 上限和丢弃概率分母 配置 WRED 各 DSCP 的下限 上限和丢弃概率分母 取消 WRED 各 DSCP 的下限 上限和丢弃概率分母的配置 wred dscp dscp-value low-limit low-limit hjgh-limit high-limit [ discard-probability discard-prob ] undo wred dscp dscp-value dscp-value:dscp 值, 取值范围为 0~63, 或可以是如下关键字 :ef,af11,af12, af13,af21,af22,af23,af31,af32,af33,af41,af42,af43,cs1,cs2,cs3, cs4,cs5,cs6,cs7 或 default 需已用 wred dscp 使能了基于 DSCP 的 WRED 丢弃方式 取消 wred 配置,wred dscp dscp-value 配置同时被取消 取消 queue af 或 queue wfq 配置, 丢弃参数的配置同时被取消 9. 配置 WRED 各优先级的下限 上限和丢弃概率分母请在流行为视图下进行下列配置 表 3-38 配置 WRED 各优先级的下限 上限和丢弃概率分母 设置 WRED 各优先级的下限 上限和丢弃概率分母 取消 WRED 各优先级的下限 上限和丢弃概率分母的配置 wred ip-precedence precedence low-limit low-limit hjgh-limit high-limit [ discard-probability discard-prob ] undo wred ip-precedence precedence 需已用 wred ip-precedence 使能了基于优先级的 WRED 丢弃方式 缺省情况下, 已使能基于 IP 优先级的 WRED 丢弃方式 取消 wred 配置,wred ip-precedence 配置同时被取消 取消 queue af 或 queue wfq 配置, 丢弃参数的配置同时被取消 10. 配置使用或取消流量监管请在流行为视图下进行下列配置 3-21

39 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 表 3-39 配置使用或取消流量监管 配置使用流量监管 配置取消流量监管 car cir committed-information-rate [ cbs committed-burst-size ebs excess-burst-size ] [ green action [ red action ] ] undo car 其中,CIR 不能超过 CBS 20 action 是对数据包采取的动作, 有以下几种 : discard: 丢弃数据包 pass: 发送数据包 remark-dscp-pass new-dscp: 设置新的 DSCP 值 new-dscp, 并发送 取值范围为 0~63 remark-prec-pass new-precedence: 设置新的 IP 优先级 new-precedence, 并发送 取值范围为 0~7 策略中的类关联了包含 TP 特性的行为时, 可以应用到接口的入或出方向 策略中的类关联了包含 TP 特性的行为时, 将导致接口上原有的 qos car 失效 如果多次使用本在同一个流行为上配置, 最后一次的配置将覆盖前面的配置 使用流量监管但未使用 AF 或 EF 配置的类, 如果通过了监管的检测可以发送, 但遇到接口拥塞, 则将进入缺省队列 11. 配置使用或取消流量整形请在流行为视图下进行下列配置 表 3-40 配置使用或取消流量整形 配置使用流量整形 配置取消流量整形 gts cir committed-information-rate [ cbs committed-burst-size [ ebs excess-burst-size [ queue-length queue-length ] ] ] undo gts 接口上应用的类策略中使用具有 gts 的流行为时, 只能应用到接口的出方向 接口上应用包含 TS 的类策略, 将导致接口上原有的 qos gts 失效 如果多次使用本在同一个流行为上配置, 最后一次的配置将覆盖前面的配置 使用流量整形但未使用 AF 或 EF 配置的类, 如果通过了整形的检测可以发送, 但遇到接口拥塞, 则将进入缺省队列 12. 配置标记报文的 DSCP 值请在流行为视图下进行下列配置 3-22

40 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 表 3-41 配置标记报文的 DSCP 值 配置标记报文的 DSCP 值 取消标记报文的 DSCP 值的配置 remark dscp dscp-value undo remark dscp 13. 配置标记报文的 IP 优先级值 请在流行为视图下进行下列配置 表 3-42 配置标记报文的 IP 优先级值 配置标记报文的 IP 优先级值 取消标记报文的 IP 优先级值的配置 remark ip-precedence ip-precedence-value undo remark ip-precedence 配置策略 1. 定义策略并进入策略视图策略映射定义该策略中每个类的流行为, 而每个流行为由一组特性要求组成, 例如 EF,AF,WFQ, 流量监管 (TP), 流量整形 (TS),WRED 标记等 请在系统视图下进行下列配置 表 3-43 定义策略并进入策略视图 定义策略并进入策略视图 删除指定策略 qos policy policy-name undo qos policy policy-name 策略名不允许是系统预定义策略 策略创建时, 缺省具有缺省类 default-class, 该类关联 be 行为 如果某接口应用了该策略, 则不允许删除该策略, 需要在应用的接口上取消对该策略的应用, 然后再使用 undo qos policy 删除该策略 2. 在策略中为类指定流行为请在策略视图下进行下列配置 3-23

41 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 表 3-44 在策略中为类指定流行为 在策略中为类指定采用的流行为 取消指定类在策略中的使用 classifier tcl-name behavior behavior-name undo classifier tcl-name tcl-name: 类名, 必须是已经定义的类, 可以是系统定义或用户定义类 behavior-name: 必须是已定义的流行为名, 可以是系统定义或用户定义流行为 应用策略 qos apply policy 是将一个策略映射到具体的接口上 一个策略映射可以在多个接口上得到应用 请在接口视图下进行下列配置 表 3-45 将接口与所设置的策略相关联 在接口上应用关联的策略 qos apply policy policy-name { inbound outbound } 在接口上删除关联的策略 undo qos apply policy { inbound outbound } QoS 策略在接口视图下应用的规则如下 : 普通物理接口和 MP 引用的 VT, 可以应用配置了各种特性 ( 包括 remark car gts queue af queue ef queue wfq wred 等 ) 的策略 配置了流量整形 (gts) 和队列 (queue ef queue af queue wfq) 特性的策略, 不能作为入方向策略应用在入接口上 子接口不支持队列 (queue ef queue af queue wfq) 特性, 但是支持流量整形 (gts) 与流量监管 (car) 所以只配置了流量整形与流量监管的策略可以应用到子接口 基于类的队列的显示和调试在完成上述配置后, 在所有视图下执行 display 可以显示基于类的队列的运行情况, 通过查看显示信息验证配置的效果 表 3-46 基于类的队列的显示和调试 显示防火墙配置的类信息 display traffic classifier { system-defined user-defined } [ tcl-name ] 3-24

42 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 显示防火墙配置的流行为信息 显示指定策略中指定类及与类关联的流行为的配置信息 显示指定接口或所有接口上策略的配置信息和运行情况 显示指定接口或所有接口的基于类的队列配置信息和运行情况 display traffic behavior { system-defined user-defined } [ behavior-name ] display qos policy { system-defined user-defined } [ policy-name [ classifier tcl-name ] ] display qos policy interface [ interface-type interface-number [ inbound outbound ] ] display qos cbq interface [ interface-type interface-number ] 显示队列调试信息 debugging qos cbq { ef af be } 3.7 RTP 优先队列的配置 RTP 报文队列的配置包括 : 在接口上应用 RTP 队列 配置带宽限制 RTP 队列的显示和调试 在接口上应用 RTP 队列设置接口上应用 RTP 队列 此没有缺省配置 请在接口视图下进行如下配置 表 3-47 在接口上应用 RTP 队列 在接口上应用 RTP 队列 关闭 RTP 队列在接口上的应用 qos rtpq start-port start-port-number end-port end-port-number bandwidth bandwidth [ cbs committed-burst-size ] undo qos rtpq 注意 : Dialer 口上可以应用 RTP 队列, 但是只有当物理接口上配置为缺省队列, 同时物理接口带宽足够的情况下,RTP 队列才能成功应用到 Dialer 口上 3-25

43 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 配置最大预留带宽配置最大预留带宽占接口实际可用带宽的百分比 请在接口视图下进行下列配置 表 3-48 配置带宽限制 配置带宽限制 恢复缺省的带宽限制 qos reserved-bandwidth pct percentage undo qos reserved-bandwidth 参数 percentage 是预留带宽占可用带宽的百分比, 取值范围为 1~100, 缺省值为 RTP 报文队列的显示和调试在完成上述配置后, 在所有视图下执行 display 可以显示当前 RTP 队列机制的队列信息, 包括当前的 RTP 队列长度和 RTP 报文的丢包数, 显示所有接口的 RTP 队列配置情况和统计信息, 通过查看显示信息验证配置的效果 表 3-49 显示接口 RTP 队列的配置情况和统计信息 显示接口 RTP 队列的配置情况和统计信息 display qos rtpq interface [ interface-type interface-number ] 3.8 典型配置举例 优先队列配置举例 1. 配置需求如图 3-6 所示,Server1 和 PC1 通过 SecPath1 向 PC2 发送数据 ( 其中 Server1 发送关键业务数据,PC1 发送非关键业务数据 ) 时, 由于 SecPath1 入接口 ethernet0/0/0 的速率大于出接口 ethernet2/0/0 的速率, 在 ethernet2/0/0 接口处可能发生拥塞, 导致丢包 要求在网络拥塞时保证 server1 发送的关键业务数据得到优先处理 3-26

44 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 2. 组网图 Ethernet1/0/0 SecPath2 SecPath1 10M Ethernet2/0/0 Internet ethernet0/0/0 ethernet PC2 ethernet0/0/0 ethernet 100M PC1 ( /8) ( /8) Server1 图 3-6 优先队列配置组网图 3. 配置步骤配置 SecPath1: # 配置 ACL 规则列表, 分别匹配来源于 Server1 和 PC1 的报文 [H3C] acl number 2001 [H3C-acl-basic-2001] rule permit source [H3C] acl number 2002 [H3C-acl-basic-2002] rule permit source # 配置优先队列规则组, 使得网络拥塞发生时, 源自 Server1 的报文能够进入 PQ 的 top 队列缓存, 源自 PC1 的报文能够进入 bottom 队列缓存, 并且设定 top 队列的最大队列长度为 50 bottom 队列的最大队列长度为 100 [H3C] qos pql 1 protocol ip acl 2001 queue top [H3C] qos pql 1 protocol ip acl 2002 queue bottom [H3C] qos pql 1 queue top queue-length 50 [H3C] qos pql 1 queue bottom queue-length 100 # 在接口 ethernet2/0/0 上启用优先队列规则组 1 [H3C] interface ethernet2/0/0 [H3C-Ethernet2/0/0] qos pq pql 基于类的队列配置举例 1. 组网需求在下面的组网图中, 从 SecPathC 发出的数据流经过 SecPathA 和 SecPathB 到达 SecPathD SecPathC 发出的数据流根据 IP 报文的 DSCP 域分为 3 类, 要求配置 QoS 策略, 对于 DSCP 域为 AF11 和 AF21 的流进行确保转发 (AF), 最小带宽为 5%; 对于 DSCP 域为 EF 的流进行加速转发 (EF), 最大带宽为 30% 3-27

45 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 EF 流可以保证一定带宽, 并保证时延和时延抖动, 对于 EF 流的优先保证是通过 LLQ 技术实现的 AF 流只保证带宽,default 流 ( 即不匹配任何定义的类的流 ) 则没有带宽和时延保证 在开始下面的配置之前, 应保证 : SecPathC 发出的流能够通过 SecPathA 和 SecPathB 可达 SecPathD 报文的 DSCP 域在进入 SecPathA 之前已经设置完毕 2. 组网图 图 3-7 基于类的队列配置组网图 3. 配置步骤在 SecPathA 上进行配置 # 定义三个类, 分别匹配 DSCP 域为 AF11 AF21 和 EF 的 IP 报文 [H3C] traffic classifier af11_class [H3C-classifier-af11_class] if-match dscp af11 [H3C-classifier-af11_class] traffic classifier af21_class [H3C-classifier-af21_class] if-match dscp af21 [H3C-classifier-af21_class] traffic classifier ef_class [H3C-classifier-ef_class] if-match dscp ef [H3C-classifier-ef_class] quit # 定义流行为, 配置 AF, 并分配最小可用带宽 [H3C] traffic behavior af11_behav [H3C-behavior-af11_behav] queue af bandwidth pct 5 [H3C-behavior-af11_behav] traffic behavior af21_behav [H3C-behavior-af21_behav] queue af bandwidth pct 5 [H3C-behavior-af21_behav] quit # 定义流行为, 配置 EF, 并分配最小可用带宽 ( 对于 EF 流, 将同时保证带宽和时延 ) 3-28

46 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 [H3C] traffic behavior ef_behav [H3C-behavior-ef_behav] queue ef bandwidth pct 30 [H3C-behavior-ef_behav] quit # 定义 QoS 策略, 将已配置的流行为指定给不同的类 [H3C] qos policy dscp [H3C-qospolicy-dscp] classifier af11_class behavior af11_behav [H3C-qospolicy-dscp] classifier af21_class behavior af21_behav [H3C-qospolicy-dscp] classifier ef_class behavior ef_behav [H3C-qospolicy-dscp] quit # 将已定义的 QoS 策略应用在 SecPathA 的 ethernet1/0/0 出方向 [H3C] interface ethernet1/0/0 [H3C-Ethernet1/0/0] ip address [H3C-Ethernet1/0/0] qos apply policy dscp outbound 配置完成后, 当发生拥塞时, 可以观察到 EF 流被以较高的优先级转发 定制队列配置举例 1. 组网需求在下面的组网图中, 两台防火墙 SecPathA 和 SecPathB 通过 Internet 连接, 连接 SecPathA 的 PC 机作为 FTP 以及 HTTP 的服务器端, 连接 SecPathB 的 PC 机作为 FTP 以及 HTTP 的客户端 配置路由使得数据流均经过 SecPathA 的接口转发至 SecPathB 在开始下列配置前应保证 : SecPathA 与 SecPathB 建立起连接, 并且两台 PC 机建立起 FTP 连接 连接 SecPathB 的 PC 机作为客户端从连接 SecPathA 的 server 端下载一个较大的文件, 同时用 SecPathB 端的 PC 机用 http 协议从 SecPathA 端的 http server 上下载大文件 定制 FTP 数据流与 HTTP 数据流以 1:2 的比例分享链路带宽 2. 组网图 eth0/0/0 SecPathA Internet SecPathB eth0/0/0 FTP Server & WWW Server eth1/0/ /24 eth1/0/ /24 PC 图 3-8 定制队列配置组网图 3-29

47 H3C SecPath 系列安全产品手册 (QoS) 第 3 章拥塞管理 3. 配置步骤在 SecPathA 上进行配置 # 配置 acl 规则分别匹配 FTP 报文与 HTTP 报文 : [H3C] acl number 3001 [H3C-acl-adv-3001] rule 0 permit tcp source-port eq ftp [H3C-acl-adv-3001] rule 1 permit tcp source-port eq ftp-data [H3C-acl-adv-3001] rule 2 deny ip [H3C] quit [H3C] acl number 3002 [H3C-acl-adv-3001] rule 0 permit tcp source-port eq www [H3C-acl-adv-3001] rule 1 deny ip [H3C-acl-adv-3001] quit # 配置 CQ 规则, 定制 FTP 流与 HTTP 流按 1:2 的比例分享链路带宽 [H3C] qos cql 1 queue 11 serving 1000 [H3C] qos cql 1 queue 12 serving 2000 [H3C] qos cql 1 protocol ip acl 3001 queue 11 [H3C] qos cql 1 protocol ip acl 3002 queue 12 # 将该规则应用在接口的出方向上 [H3C] interface Ethernet1/0/0 [H3C-Ethernet1/0/0] ip address [H3C-Ethernet1/0/0] qos cq cql 1 [H3C-Ethernet1/0/0] quit 3-30

48 H3C SecPath 系列安全产品手册 (QoS) 第 4 章 DAR 配置 第 4 章 DAR 配置 4.1 DAR 简介 Internet 已成为企业实现各种业务的主要媒介, 各种基于业务的应用也不断地涌现 在这种形势下, 仅仅依靠目前对报文中的 IP 报头进行检查的简单机制, 已不能适应需求, 所以提出了基于业务的深度应用识别的概念 DAR(Deeper Application Recognition, 深度应用识别 ) 是一个智能的识别分类工具, 它可以对报文中第 4 层到第 7 层的内容和一些动态协议 ( 如 BT HTTP FTP RTP) 进行检查和识别, 以区分出各种基于应用的协议, 弥补了原先只能对报文进行简单分类的不足 通过对报文进行深度的识别和分类, 大大加强了用户对数据流的控制力度 将 DAR 与 QoS 模块结合起来, 可以更有效地为关键业务的数据实施高优先级的策略, 进一步保护了用户的投资 4.2 配置 DAR 配置协议的匹配规则当对数据流应用各种策略 ( 如设置报文的优先级, 为数据流分配带宽等 ) 时, 首先需要使用 DAR 的深度识别功能对数据流进行分类 请在类视图下进行下列配置 表 4-1 定义或删除协议匹配规则 定义协议匹配规则 删除协议匹配规则 if-match [ not ] protocol protocol-name undo if-match [ not ] protocol protocol-name 缺省情况下, 未配置协议匹配规则 配置 HTTP 协议的匹配规则 DAR 可以通过检查 HTTP 报文中的内容 ( 如 HTTP 报文中的 URL 地址 hostname 主机名和 MIME 类型 ) 对报文进行分类 请在类视图下进行下列配置 4-1

49 H3C SecPath 系列安全产品手册 (QoS) 第 4 章 DAR 配置 表 4-2 定义或删除 HTTP 协议匹配规则 定义 HTTP 协议的匹配规则 删除 HTTP 协议的匹配规则 if-match [ not ] protocol http [ url url-string host hostname-string mime mime-type ] undo if-match [ not ] protocol http [ url url-string host hostname-string mime mime-type ] 缺省情况下, 未配置 HTTP 协议的匹配规则 配置 RTP 协议的匹配规则 DAR 可以通过检查 RTP(Real-Time Transfer Protocol, 实时传输协议 ) 报文的负载类型对数据流进行分类 请在类视图下进行下列配置 表 4-3 定义或删除 RTP 协议匹配规则 定义 RTP 协议的匹配规则 删除 RTP 协议的匹配规则 if-match [ not ] protocol rtp [ payload-type { audio video payload-string }* ] undo if-match [ not ] protocol rtp [ payload-type { audio video payload-string }* ] 缺省情况下, 未配置 RTP 协议的匹配规则 配置 DAR 应用协议的端口号系统预先定义了大量的协议及其使用的端口号, 这些协议包括一些知名的协议和 10 个用户预定义协议 user-defined01 user-defined02 user-defined10 用户可以使用以下为这些协议赋予自定义的端口号, 增强了应用的扩展性 请在系统视图下进行下列配置 表 4-4 配置 DAR 应用协议的端口号 配置 DAR 应用协议的端口号 恢复 DAR 应用协议的端口号为缺省值 dar protocol protocol-name { tcp udp } port { portvalue range port-min port-max }* undo dar protocol protocol-name { tcp udp } port 缺省情况下, 十个用户预定义协议无端口号, 其余各协议均有其缺省的端口号 4-2

50 H3C SecPath 系列安全产品手册 (QoS) 第 4 章 DAR 配置 重命名用户预定义协议缺省情况下, 系统创建了十个用户预定义协议, 名称为 user-defined01 user-defined02 user-defined10 用户可以使用以下配置对其进行重命名, 以便于用户记忆和管理 请在系统视图下进行下列配置 表 4-5 重命名用户预定义协议 重命名用户预定义协议 恢复用户预定义协议的缺省名称 dar protocol-rename old-name user-defined-name undo dar protocol-rename user-defined-name 使能 / 关闭 DAR 的报文统计功能通过使能 DAR 的报文统计功能, 用户可以及时对各个接口上的应用协议的报文个数 数据流量以及流量的历史平均速率和历史最大速率进行监控, 便于对数据流实施相应的策略 请在以太网接口视图下进行下列配置 表 4-6 使能 / 关闭 DAR 的报文统计功能 使能 DAR 的报文统计功能 dar protocol-statistic [ flow-interval time ] 关闭 DAR 的报文统计功能 undo dar protocol-statistic 缺省情况下, 关闭 DAR 的报文统计功能 配置 DAR 可识别的最大连接数当有大量的数据流经设备时, 若 DAR 对其进行一一识别, 将会消耗大量的系统资源, 从而影响其它功能模块的正常工作 为了避免这种现象, 用户可以对 DAR 能够识别的最大连接数目进行限制, 以节省宝贵的系统资源 当连接数目超过设定的最大阈值时,DAR 将不再对其进行识别, 直接将其标记为无法识别的报文 请在系统视图下进行下列配置 表 4-7 配置 DAR 可识别的最大连接数 配置 DAR 可识别的最大连接数 恢复 DAR 可识别的最大连接数的缺省值 dar max-session-count count undo dar max-session-count 4-3

51 H3C SecPath 系列安全产品手册 (QoS) 第 4 章 DAR 配置 DAR 可识别的最大连接数的缺省值与产品型号有关, 请以实际产品为准 4.3 DAR 的显示和调试 在任意视图下使用 display 可以对 DAR 的配置情况和运行状态进行查看 ; 在用户视图下使用 debugging 可以对 DAR 进行调试 ; 在用户视图下使用 reset 可以清除 DAR 的统计和会话信息 表 4-8 DAR 的显示和调试 查看 DAR 的模块信息 display dar information 查看 DAR 的协议信息 display dar protocol { all protocol-name } 查看用户预定义协议的重命名信息 查看 DAR 的报文统计信息 display dar protocol-rename display dar protocol-statistic [ protocol protocol-name top top-number all ] [ interface type number ] [ direction { in out } ] 打开 DAR 的调试信息开关 debugging dar { packet event error all } 关闭 DAR 的调试信息开关 undo debugging dar { packet event error all } 清除会话连接缓存 清除 DAR 的协议统计信息 reset dar session reset dar protocol-statistic { { protocol protocol-name interface type number }* all } 4.4 DAR 典型配置举例 DAR 配置举例 1. 组网需求局域网 /24 内的用户通过防火墙访问 Internet 为了确保关键业务数据的正常传输, 要求为此数据流保证 1Mbps 带宽 此数据流基于 TCP 协议, 使用的端口号为

52 H3C SecPath 系列安全产品手册 (QoS) 第 4 章 DAR 配置 2. 组网图 PC /24 PC2 PC3 Ethernet0/0/ /24 Ethernet1/0/ /24 Internet SecPath PC4 PC5 图 4-1 DAR 典型应用组网图 3. 配置步骤 # 配置协议 user-defined01 使用 TCP 端口号 <H3C> system-view [H3C] dar protocol user-defined01 tcp port # 创建类并设置匹配规则 [H3C] traffic classifier test [H3C-classifier-test] if-match protocol user-defined01 [H3C-classifier-test] quit # 配置流行为 [H3C] traffic behavior 1 [H3C-behavior-1] queue af bandwidth 1000 [H3C-behavior-1] quit # 配置 QoS 策略 [H3C] qos policy 1 [H3C-qospolicy-1] classifier test behavior 1 [H3C-qospolicy-1] quit # 在接口上应用 QoS 策略 [H3C] interface Ethernet 1/0/0 [H3C-Ethernet1/0/0] qos apply policy 1 outbound 4-5

53 H3C SecPath 系列安全产品手册 (QoS) 第 5 章拥塞避免 第 5 章拥塞避免 5.1 拥塞避免简介 过度的拥塞会对网络资源造成极大危害, 必须采取某种措施加以解除 这里所说的拥塞避免 (Congestion Avoidance), 是指通过监视网络资源 ( 如队列或内存缓冲区 ) 的使用情况, 在拥塞有加剧的趋势时, 主动丢弃报文, 通过调整网络的流量来解除网络过载的一种流控机制 与端到端的流控相比, 这里的流控有更广泛的意义, 它影响到防火墙中更多的业务流的负载 当然, 防火墙在丢弃报文时, 并不排斥与源端的流控动作比如 TCP 流控的配合, 更好地调整网络的流量到一个合理的负载状态 好的丢包策略和源端流控机制的组合, 总是追求网络的吞吐量和利用效率最大化, 并且使报文丢弃和延迟最小化 1. 传统的丢包策略传统的丢包策略采用尾部丢弃 (Tail-Drop) 的方法 当队列的长度达到某一最大值后, 所有新到来的报文都将被丢弃 这种丢弃策略会引发 TCP 全局同步现象 当队列同时丢弃多个 TCP 连接的报文时, 将造成多个 TCP 连接同时进入拥塞避免和慢启动状态以降低并调整流量, 而后又会在某个时间同时出现流量高峰, 如此反复, 使网络流量忽大忽小, 造成网络带宽利用率降低, 使带宽利用率总在高峰和低谷间振荡 2. RED 与 WRED 为避免 TCP 全局同步现象, 可使用 RED(Random Early Detection, 随机早期检测 ) 或 WRED(Weighted Random Early Detection, 加权随机早期检测 ) 在 RED 类算法中, 为每个队列都设定一对低限和高限值, 并规定 : 当队列的长度小于低限时, 不丢弃报文 当队列的长度超过高限时, 丢弃所有到来的报文 当队列的长度在低限和高限之间时, 开始随机丢弃到来的报文 方法是为每个到来的报文赋予一随机数, 并用该随机数与当前队列的丢弃概率比较, 如果大于丢弃概率则被丢弃 队列越长, 丢弃概率越高 但有一个最大丢弃概率 与 RED 不同,WRED 生成的随机数是基于优先权的, 它引入 IP 优选权区别丢弃策略, 考虑了高优先权报文的利益并使其被丢弃的概率相对较小 5-1

54 H3C SecPath 系列安全产品手册 (QoS) 第 5 章拥塞避免 RED 和 WRED 通过随机丢弃报文避免了 TCP 的全局同步现象 当某个 TCP 连接的报文被丢弃, 开始减速发送的时候, 其他的 TCP 连接仍然有较高的发送速度 这样, 无论什么时候, 总有 TCP 连接在进行较快的发送, 提高了线路带宽的利用率 直接采用队列的长度和低限 高限比较并进行丢弃 ( 这是设置队列门限的绝对长度 ), 将会对突发性的数据流造成不公正的待遇, 不利于数据流的传输 所以, 在和低限 高限比较并进行丢弃时, 采用队列的平均长度 ( 这是设置队列门限与平均长度比较的相对值 ) 计算 WRED 平均队列长度的公式 : 平均队列长度 =( 以前的平均队列长度 *(1-1/(2 的 n 次方 )))+( 当前队列长度 *(1/(2 的 n 次方 ))) 其中 n 是权重因子, 是一个可配的参数 队列的平均长度既反映了队列的变化趋势, 又对队列长度的突发变化不敏感, 避免了对突发性数据流的不公正待遇 当队列机制采用 WFQ 时, 可以为不同优先级 (precedence) 的报文设定不同的权重因子 上限 下限 丢弃概率, 从而对不同优先级的报文提供不同的丢弃特性 WRED 和队列机制的关系如下图所示 需由此接口发送的分组 WRED 丢弃 queue1 weight1 queue2 weight2 发送的分组 分类 queuen-1 weightn-1 调度 发送的队列 queuen weightn 丢弃的包 图 5-1 WRED 和队列机制关系示意图 当 WRED 和 WFQ 配合使用时, 可以实现基于流的 WRED 这是因为, 在进行分类的时候, 不同的流有自己的队列, 对于流量小的流, 由于其队列长度总是比较小, 所以丢弃的概率将比较小 而流量大的流将会有较大的队列长度, 从而丢弃较多的报文, 保护了流量较小的流的利益 5.2 WRED 的配置 WRED 的配置包括 : 使用 WRED 设置 WRED 计算平均队列长度的指数 设置 WRED 各优先级参数 5-2

55 H3C SecPath 系列安全产品手册 (QoS) 第 5 章拥塞避免 使用 WRED 请在接口视图下进行下列配置 表 5-1 使用 WRED 使用 WRED qos wred [ ip-precedence dscp ] 恢复缺省形式 undo qos wred WRED 只能和 WFQ 共同使用, 不能单独使用或和其它的队列共同使用 缺省情况为不使用 WRED, 队列的丢弃方法为尾部丢弃 说明 : 使用 WRED 之前接口上必须已经应用了 WFQ 设置 WRED 计算平均队列长度的指数设置 WRED 计算平均队列长度的滤波系数 请在接口视图下进行下列配置 表 5-2 设置 WRED 计算平均队列长度的指数 设置 WRED 计算平均队列长度的指数 恢复指数的缺省值 qos wred weighting-constant exponent undo qos wred weighting-constant 其中 exponent 为计算平均队列长度的滤波系数, 取值范围为 1~16, 缺省值为 9 必须先使用 qos wred 在接口上应用 WRED, 才可以配置 WRED 的参数 设置 WRED 各优先级参数当接口配置加权公平队列时, 可以设置 WRED 各优先级的下限 上限以及丢弃概率分母 请在接口视图下进行下列配置 5-3

56 H3C SecPath 系列安全产品手册 (QoS) 第 5 章拥塞避免 表 5-3 设置 WRED 各优先级参数 设置 WRED 优先级参数 恢复各优先级参数的缺省值 qos wred ip-precedence ip-precedence low-limit low-limit high-limit high-limit discard-probability discard-prob undo qos wred ip-precedence ip-precedence 必须先使用 qos wred 在接口上应用 WRED, 才可以配置 WRED 的参数 设置 WRED 各 DSCP 参数当接口配置加权公平队列时, 可以设置 WRED 各 DSCP 的下限 上限以及丢弃概率分母 请在接口视图下进行下列配置 表 5-4 设置 WRED 各 DSCP 参数 设置 WRED 各 DSCP 参数 恢复各 DSCP 参数的缺省值 qos wred dscp dscp-value low-limit low-limit high-limit high-limit discard-probability discard-prob undo qos wred dscp dscp-value 必须先使用 qos wred 在接口上应用 WRED, 才可以配置 WRED 的参数 5.3 WRED 的显示和调试 在完成上述配置后, 在所有视图下执行 display 可以显示接口的 WRED 配置情 况和统计信息, 通过查看显示信息验证配置的效果 表 5-5 显示接口的 WRED 配置情况和统计信息 显示接口的 WRED 配置情况和统计信息 display qos wred interface [ interface-type interface-number ] 该可以显示某个接口或所有接口的 WRED 配置情况和统计信息 interface-type 为接口类型 interface-number 为接口号 5-4

57 H3C SecPath 系列安全产品手册 (QoS) 第 6 章 MPLS QoS 第 6 章 MPLS QoS 6.1 MPLS QoS 概述 MPLS 的 QoS 主要完成以下功能 : 根据需要选择在 CE 上或 PE 上对业务流进行分类, 例如 : 把业务流分为三类 : 语音 视频和数据 PE 在给报文加 Label 时, 把 IP 报文携带的 IP 优先级标记影射到标签的 CoS 域, 这样原来由 IP 携带的类型信息, 现在由标签携带 在 PE 路由器之间, 根据标签的 CoS 域, 进行有差别的调度 ( 如 PQ WFQ CBQ 等 ), 即把携带标签的业务流在一条 LSP 上进行有差别的 QoS 的传送 说明 : 本章用户需要有 MPLS 相关知识背景 如需了解 MPLS 基本概念以及相关配置, 请参考本书 MPLS 配置部分, 本章仅涉及 MPLS QoS 的配置 6.2 MPLS QoS 配置 配置 MPLS QoS 首先要进行 MPLS 的相关配置并指定为显示路由转发方式 MPLS 的详细配置请参见本手册的 MPLS 部分 本章仅介绍 MPLS QoS 的配置 MPLS QoS 的可以分为四种 : MPLS PQ MPLS CQ MPLS CBQ MPLS CAR 下面对这四种 MPLS QoS 的配置分别进行说明 配置 MPLS PQ 配置 MPLS PQ 有两个步骤 首先要根据 MPLS EXP 配置优先列表, 然后在接口上应用此优先列表 相关说明可参考 拥塞管理 中的 PQ 配置 1. 根据 MPLS EXP 配置优先列表根据 MPLS EXP 值配置优先列表, 并使匹配的分组进入不同的优先队列 6-1

58 H3C SecPath 系列安全产品手册 (QoS) 第 6 章 MPLS QoS 请在系统视图进行下列配置 表 6-1 根据网络协议配置优先列表 根据网络协议配置优先列表 删除 pql-index 中相应的分类规则 qos pql pql-index protocol mpls exp mpls-experimental-value queue { top middle normal bottom } undo qos pql pql-index protocol mpls exp mpls-experimental-value 优先队列的相关配置请参见 拥塞管理策略 2. 在接口上应用优先列表组将一组优先列表应用到接口上 对于同一个接口, 本的重复使用将为接口设定新的优先列表组 请在接口视图下进行下列配置 表 6-2 在接口上应用优先列表组 在接口上应用优先列表组 将接口的拥塞管理策略恢复为 FIFO qos pq pql pql-index undo qos pq 配置 MPLS CQ 配置 MPLS CQ 有两个步骤 首先要根据 MPLS EXP 配置定制列表, 然后在接口上应用此定制列表 相关说明可参考 拥塞管理 中的 CQ 配置 1. 根据 MPLS EXP 配置定制列表根据 MPLS EXP 配置定制列表, 并使匹配的分组进入不同的定制队列 请在系统视图下进行下列配置 表 6-3 根据网络协议配置定制列表 根据 MPLS EXP 配置定制列表 删除相应的分类规则 qos cql cql-index protocol mpls exp experimental-number queue queue-number undo qos cql cql-index protocol mpls exp experimental-number queue-number 取值为 0~16 关于定制队列的配置请参见 拥塞管理策略 6-2

59 H3C SecPath 系列安全产品手册 (QoS) 第 6 章 MPLS QoS 2. 在接口上应用定制列表 请在接口视图下进行下列配置 表 6-4 在接口上应用定制列表 在接口上应用定制列表 将接口的拥塞管理策略恢复到 FIFO qos cq cql cql-index undo qos cq 配置 MPLS CBQ 配置 MPLS CBQ 有四个步骤 第一, 要定义类, 根据 MPLS EXP 配置类的匹配规则 ; 第二, 要定义流行为, 配置处理 MPLS EXP 域的方案 ; 第三, 定义一个 QoS 策略, 为每个类指定具体的流行为 ; 第四, 在接口上应用此 QoS 策略 相关说明可参考 拥塞管理 中的 CBQ 配置 1. 配置匹配 mpls 报文的 exp 域的分类规则 MPLS QoS 允许用户在 PE 上通过 MPLS EXP 域来对 MPLS 报文进行分类并进入不同的队列, 实现 QoS,IP 报文则不加改变地透明穿过 MPLS 网络 首先要定义一个类并进入类视图, 然后在类视图中配置匹配 mpls 报文的 exp 域的分类规则 请在系统视图下进行下列配置 表 6-5 定义一个类并进入类视图 定义类并进入类映射视图 traffic classifier tcl-name [ operator { and or } ] 删除类并进入类映射视图 undo traffic classifier tcl-name [ operator { and or } ] 请在类视图下进行下列配置 表 6-6 匹配 mpls 的 exp 域的规则 定义匹配 MPLS 的 exp 域的规则 if-match [ not ] mpls-exp { mpls-experimental-value } 删除匹配 MPLS 的 exp 域的规则 undo if-match [ not ] mpls-exp 2. 设置 MPLS CBQ 流行为 首先在流行为视图下配置设置 MPLS EXP 域的值, 然后在策略视图下将类与流行为关联, 这样就可以对匹配类的报文进行 MPLS EXP 域的标记 6-3

60 H3C SecPath 系列安全产品手册 (QoS) 第 6 章 MPLS QoS 请在系统视图下进行下列配置 表 6-7 定义一个流行为并进入流行为视图 定义一个流行为并进入流行为视图 删除流行为 traffic behavior behavior name undo traffic behavior behavior name 请在流行为视图下进行下列配置 表 6-8 设置 MPLS EXP 域的值来标记匹配的报文 设置 MPLS EXP 域的值来标记匹配的报文 取消 MPLS EXP 域的值的设置 remark mpls-exp mpls-experimental-value undo remark mpls-exp 3. 配置 MPLS CBQ 策略首先要定义一个 QoS 策略名称, 然后在 QoS 策略中为类指定流行为, 即对不同类的报文标记不同的 EXP 值 请在系统视图下进行下列配置 表 6-9 定义策略并进入策略视图 定义策略并进入策略视图 删除指定策略 qos policy policy-name undo qos policy policy-name 请在策略视图下进行下列配置 表 6-10 在策略中为类指定流行为 在策略中为类指定采用的流行为 取消指定类在策略中的使用 classifier tcl-name behavior behavior-name undo classifier tcl-name tcl-name : 类名, 必须是已经定义的类, 可以是系统定义或用户定义类 behavior-name: 必须是已定义的流行为名, 可以是系统定义或用户定义流行为 4. 应用 QoS 策略请在接口视图下进行下列配置 6-4

61 H3C SecPath 系列安全产品手册 (QoS) 第 6 章 MPLS QoS 表 6-11 将接口与所设置的策略相关联 在接口应用关联的策略 qos apply policy policy-name { inbound outbound } 在接口删除关联的策略 undo qos apply policy { inbound outbound } 配置 MPLS CAR 配置 MPLS CAR 有两个步骤 一是确定哪些报文需要实施监管, 二是定义对这些报文的监管策略 确定哪些报文需要实施监管的方法可以使用访问控制列表 (ACL), 也可以使用 TP 列表 (carl-index) 如果要对所有报文都进行监管, 可以使用关键字 any 相关说明可参考 流量监管配置 1. 接口应用 TP 策略, 对 MPLS 报文进行标记在接口应用 TP 策略 (CAR), 对 MPLS 报文进行标记 请在接口视图下进行下列配置 表 6-12 在接口应用 TP 策略, 对 MPLS 报文进行标记 在接口应用 TP 策略, 对 MPLS 报文进行标记 取消在接口应用的 TP 策略 qos car inbound { any acl acl-number carl carl-index } cir committed-information-rate cbs committed-burst-size ebs excess-burst-size green action red action undo qos car inbound { any acl acl-number carl carl-index } cir committed-information-rate cbs committed-burst-size ebs excess-burst-size action 的取值为 : remark-mpls-exp-continue new-mpls-exp : 设置新的 MPLS EXP 值 new-mpls-exp, 并继续由下一个 CAR 策略处理, 取值范围 0~7 remark-mpls-exp-pass new-mpls-exp : 设置新的 MPLS EXP 值 new-mpls-exp, 并发送数据包到目的地址, 取值范围 0~7 只能在 PE 的入接口上才可以设置 MPLS 报文的 EXP 域 如果入方向为 IP 报文, 出方向封装为 MPLS 报文, 则配置的 TP 策略 ( 设置 MPLS 报文的 EXP 域 ) 生效 设置 MPLS 报文的 EXP 域时, 两层标签都要设置, 但不修改 IP 头部中的 TOS 域 6-5