QoS/ACL 目录
目录
第1章 ACL配置.....................................................................................................................1-1 1.1 访问控制列表简介..............................................................................................................1-1 1.1.1 访问控制列表概述....................................................................................................1-1
1.1.2 以太网交换机支持的访问控制列表..........................................................................1-2
1.2 ACL配置............................................................................................................................1-2
1.2.1 时间段配置..............................................................................................................1-3
1.2.2 定义访问控制列表....................................................................................................1-3
1.3 访问控制列表显示和调试...................................................................................................1-4第2章 QoS配置.....................................................................................................................2-1
2.1 QoS简介............................................................................................................................2-1
2.2 QoS配置............................................................................................................................2-2
2.2.1 设置端口的优先级....................................................................................................2-2
2.2.2 设置交换机信任报文的优先级.................................................................................2-2
2.2.3 队列调度配置...........................................................................................................2-3
2.2.4 端口镜像配置...........................................................................................................2-6
量脚器2.2.5 QoS的显示和调试...................................................................................................2-7
2.3 配置实例.............................................................................................................................2-7
2.3.1 端口镜像配置实例....................................................................................................2-7
2.3.2 队列调度配置实例....................................................................................................2-8
第1章 ACL配置
1.1 访问控制列表简介
1.1.1 访问控制列表概述
网络设备为了过滤数据包,需要配置一系列的匹配规则,以识别需要过滤的对象。 在识别出特定的对象之后,才能根据预先设定的策略允许或禁止相应的数据包通过。
访问控制列表(Access Control List,ACL)就是用来实现这些功能。
ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、
目的地址、端口号等。ACL应用在交换机全局或端口,交换机根据ACL中指定的条
件来检测数据包,从而决定是转发还是丢弃该数据包。
由ACL定义的数据包匹配规则,还可以被其它需要对流量进行区分的场合引用,如
QoS中流分类规则的定义。
一条访问控制规则可以由多条子规则组成,而每一条语句指定的数据包的范围大小 有别,在匹配一个访问控制规则的时候就存在匹配顺序的问题。
1. ACL直接下发到硬件中的情况
交换机中ACL可以直接下发到交换机的硬件中,用于数据转发过程中的过滤和流分
类。此时一条ACL中多个子规则的匹配顺序是由交换机的硬件决定的,用户即使在
定义ACL时配置了匹配顺序也不起作用。
ACL直接下发到硬件的情况包括:交换机实现QoS功能时引用ACL、硬件转发时
通过ACL过滤转发数据等。
miankongqu2. ACL被上层模块引用的情况
交换机也使用ACL来对由软件处理的报文进行过滤和流分类。此时ACL子规则的
匹配顺序有两种:config(指定匹配该规则时按用户的配置顺序)和auto(指定匹
配该规则时系统自动排序,即按“深度优先”的顺序)。这种情况下用户可以在定
义ACL的时候指定一条ACL中多个子规则的匹配顺序。用户一旦指定某一条访问
控制规则的匹配顺序,就不能再更改该顺序,除非把该规则的内容全部删除,再重
新指定其匹配顺序。
ACL被上层模块引用的情况包括:路由策略引用ACL、对登录用户进行控制时引用
ACL等。
伴热管线说明:
“深度优先”的原则是指:把指定数据包范围最小的语句排在最前面。这一点可以
通过比较地址的通配符来实现,通配符越小,则指定的主机的范围就越小。比如
129.102.1.1 0.0.0.0指定了一台主机:129.102.1.1,而129.102.1.1 0.0.255.255则
指定了一个网段:129.102.1.1~129.102.255.255。显然前者在访问控制规则中排
在前面。具体标准为:对于基本访问控制规则的语句,直接比较源地址通配符,通
配符相同的则按配置顺序;对于基于接口过滤的访问控制规则,配置了“any”的
规则排在后面,其它按配置顺序;对于高级访问控制规则,首先比较源地址通配符,
相同的再比较目的地址通配符,仍相同的则比较端口号的范围,范围小的排在前面,
如果端口号范围也相同则按配置顺序。
1.1.2 以太网交换机支持的访问控制列表
在以太网交换机中,访问控制列表分为以下几类:
z基于数字标识的基本访问控制列表。
z基于名字标识的基本访问控制列表。
交换机上对各种访问控制列表的数目限制如下表所示:
表1-1访问控制列表的数量限制
项目数字取值范围
基于数字标识的基本访问控制列表 2000~2999
基于名字标识的基本访问控制列表-
一条访问控制列表可以定义的子规则0~127
-
交换机最多可以定义的子规则(所有访问控制列表
的子规则之和)
说明:
S2100-SI系列以太网交换机的ACL不能下发到硬件。
1.2 ACL配置
访问控制列表配置包括:
语音云平台
z配置时间段
z定义访问控制列表
以上步骤最好依次进行,先配置时间段,然后定义访问控制列表(在其中会引用定
义好的时间段)。
1.2.1 时间段配置
对时间段的配置有如下内容:配置每天的时分范围、周期范围和日期范围。配置日
期范围采用的是年、月、日、时、分的形式,配置周期范围采用的是每周的周几的
形式,配置每天的时分范围采用的是每天的几点、几分的形式。
可以使用下面的命令来配置时间段。
请在系统视图下进行下列配置。
表1-2创建时间范围
操作命令
创建时间范围time-range time-name { start-time to end-time days-of-the-week [ from start-time start-date ] [ to end-time end-date ] | from start-time start-date [ to end-time end-date ] }
删除时间范围undo time-range time-name [ start-time to end-time days-of-the-week [ from start-time start-date ] [ to end-time end-date ] | from start-time start-date [ to end-time end-date ] ]
如果不配置结束日期,时间范围就是从配置生效之日起到系统可以表示的最大时间
为止。
1.2.2 定义访问控制列表
定义访问控制列表的步骤为:
(1) 进入相应的访问控制列表视图
(2) 定义访问控制列表的子规则
2. 定义基本访问控制列表
基本访问控制列表只根据三层源IP制定规则,对数据包进行相应的分析处理。
可以使用下面的命令来定义基本访问控制列表。
请在相应视图下进行下列配置。
表1-3定义基本访问控制列表
操作命令
进入基本访问控制列表视图(系统视图)acl { number acl-number | name acl-name basic } [ match-order { config | auto } ]
操作命令
定义子规则(基本访问控制列表视图)rule [ rule-id ] { permit | deny } [ source { source-addr wildcard | any } | fragment | time-range name ]*
删除访问控制列表的一个子规则
(基本访问控制列表视图)
undo rule rule-id[ source | fragment | time-range ]*
删除访问控制列表,或者删除全
部访问控制列表(系统视图)
undo acl { number acl-number| name acl-name | all } 1.3 访问控制列表显示和调试
在完成上述配置后,在任意视图下执行display命令都可以显示配置后访问控制列
表的运行情况。用户可以通过查看显示信息验证配置的效果。在用户视图下执行
reset命令可以将有关访问控制列表的统计信息清除。电水壶底座
表1-4访问控制列表的显示和调试
操作命令
显示时间段状况。display time-range{ all | name }
显示访问控制列表的详细配置信息。display acl config { all | acl-number | acl-name }aoi测试
清除访问控制列表的统计信息。reset acl counter { all | acl-number | acl-name }
具体的参数说明请参见命令手册。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议