华为_S5516以太网交换机用户手册-08QACL配置_IT168文库

Quidway® S5516以太网交换机 用户手册 配置指导分册 QoS与 ACL配置 目 录 i 目 录 第 1章 QoS与 ACL ............................................................................................................. 1-1 1.1 QoS与 ACL简介.......................................................................................................1-1 1.1.1 流分类与 ACL ..................................................................................................1-1 1.1.2 拥塞管理.........................................................................................................1-2 1.2 QoS与 ACL配置.......................................................................................................1-2 1.2.1 帧过滤功能的配置............................................................................................1-2 1.2.2 QoS功能的配置...............................................................................................1-6 1.2.3 镜像功能的配置.............................................................................................1-10 1.2.4 统计功能的配置.............................................................................................1-12 1.3 QoS与 ACL的监控与维护........................................................................................1-14 1.4 QoS与 ACL典型配置举例........................................................................................1-16 Quidway® S5516以太网交换机 用户手册 配置指导分册 QoS与 ACL配置 第 1章 QoS与 ACL 1-1 第1章 QoS 与 ACL 在大型园区网 企业网乃至城域网中 S5516 以太网交换机主要放置于汇聚 层 解决了 VLAN划分和路由转发分布化的问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 对于 VLAN之间或主机之 间的访问控制和流量监管 S5516 以太网交换机同样有所考虑 本章将分别 介绍利用复杂流分类和访问控制列表实现的帧过滤 带宽管理 镜像和流统 计等功能 1.1 QoS与 ACL简介 1.1.1 流分类与 ACL 1. 流 流 traffic 即业务流 指所有通过交换机的报文 2. 流分类 流分类 traffic classification 是指采用一定的规则识别出符合某类特征的报 文 而分类规则 classification rule 指配置管理员根据管理需求配置的过 滤规则 可以很简单 比如可根据 IP 报文头的 ToS 字段 识别出有不同优 先级特征的流量 也可以很复杂 如综合链路层 Layer 2 网络层 layer 3 传输层 layer 4 的信息比如 MAC地址 IP协议 源地址 目的地址 或应用程序的端口号等相关信息来对报文进行分类 S5516 以太网交换机支 持后者 即复杂流分类规则 一般的分类依据都局限在封装报文的头部信息 使用报文的内容作为分类的标准的做法比较少见 3. ACL 如前所述 进行流分类的目的是为了提供有区别的服务 它必须与某种流控 和资源分配动作关联起来 这样才有意义 利用 ACL Access Control List 访问控制列表 即可实现将流规则与流操作关联起来的功能 如帧过滤 带 宽管理 镜像和流统计等 具体采取何种流控动作 与所处的阶段以及网络 当前的负载状况有关 比如 当报文进入网络时依据承诺的平均速率对报文 进行监管 流出结点之前进行队列调度管理等 Quidway® S5516以太网交换机 用户手册 配置指导分册 QoS与 ACL配置 第 1章 QoS与 ACL 1-2 1.1.2 拥塞管理 当拥塞发生时 多个报文会同时竞争使用资源 此时如何制定一个资源的调 度策略以决定报文转发的处理次序 就是拥塞管理的中心内容 对于拥塞管 理 一般采用排队技术 这里介绍 S5516以太网交换机采用的队列调度机制 PQ Priority Queueing 优先队列 方式 这种队列算法可以解决特定 的网络流量问题 对带宽资源的分配 延迟 延迟抖动等有着十分重要的影 响 1. PQ high medium normal low 分类 出队调度 离开接口的数据包 队列 需由此接口发 送的数据包 图1-1 优先队列示意图 PQ 队列调度机制是针对关键业务型应用 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 的 关键业务有一重要的特点 即在拥塞发生时要求优先获得服务以减小响应的延迟 在 S5516以太网交换 机中 所有报文分成最多至 8类 分别为 7~0队列 它们的优先级依次降低 在队列调度时 PQ 严格按照优先级从高到低的次序优先发送较高优先级队 列中的分组 当较高优先级队列为空时 再发送较低优先级队列中的分组 这样 将关键业务 如 SNMP 的分组放入较高优先级的队列 将非关键业 务 如 E-Mail 的分组放入较低优先级的队列 可以保证关键业务的分组被 优先传送 非关键业务的分组在处理关键业务数据的空闲间隙被传送 PQ 的缺点是 拥塞发生时 如果较高优先级队列中长时间有分组存在 那 么低优先级队列中的报文就会由于得不到服务而 饿死 1.2 QoS与 ACL配置 1.2.1 帧过滤功能的配置 帧过滤就是将业务流进行过滤操作 如丢弃操作 deny 即将匹配流分类 规则的业务流丢弃而允许所有其它流量通过 由于 S5516以太网交换机采用 了复杂的流分类规则 这样可以针对业务流的二 三 四层报文的各种信息 Quidway® S5516以太网交换机 用户手册 配置指导分册 QoS与 ACL配置 第 1章 QoS与 ACL 1-3 进行过滤 丢弃那些无用 不可靠 值得怀疑的业务流 从而增强了网络的 安全性 要实现帧过滤 有两个关键的环节 第一步 是对入端口的流量按即定的规则进行流分类 第二步 对区分出来的流进行过滤 丢弃操作 deny deny 为缺省的 访问控制操作 帧过滤的操作流程如下图所示 T r a f f i c 流分类 Tra ff ic 1 Traff icN ...... Filter操作 Traff icN L2/L3转发 输出调度 输入 rule-map配置流分 类规则 deny命令 图1-2 帧过滤的处理流程 帧过滤的主要配置任务列表如下 l 定义流分类规则 l 定义流的动作 l 定义 ACL作用的时间段 l 定义 ACL l 选择 ACL模式 l 激活 ACL配置项 2. 定义流分类规则 S5516 以太网交换机支持综合二 三 四层报文信息来共同描述一个流的特 征 用这些信息进行复杂的流分类 Quidway® S5516以太网交换机 用户手册 配置指导分册 QoS与 ACL配置 第 1章 QoS与 ACL 1-4 请在全局配置模式下进行下列配置 (1) 定义二层流分类规则 表1-1 定义二层流分类规则 操作 命令 定义二层流分类规则 rule-map l2 rule-name [ [ frame-type { 802.3 | 802.3snap | 802.3/802.2 | ether_ii } ] protocol-type { arp | ip | rarp } ] ingress { any | in-mac | inport-num } egress { any | out-mac | outport-num } 删除已定义的流分类规则 no rule-map { rule-num | rule-name } 各参数的详细说明请参见命令参考手册 (1) 定义三 四层流分类规则 表1-2 定义三 四层流分类规则 操作 命令 定义三 四层流分类规则 rule-map l3 rule-name [ protocol-type { icmp | ospf | tcp | udp } ] sourceip souce-wildcard-mask [ eq { http | telnet | ftp | tftp | dns | snmp | smtp | source-port } ] destinationip destination-wildcard-mask [ eq { http | telnet | ftp | tftp | dns | snmp | smtp | dest-port } [ dscp { dscp-value | af1 | af2 | af3 | af4 | be | ef } ] ] 删除已定义的流分类规则 no rule-map { rule-num | rule-name } 各参数的详细说明请参见命令参考手册 对不同的协议类型 有不同的参数 组合 如 表1-3 定义 TCP协议下 FTP方式的流分类规则 操作 命令 定义 TCP协议的规则 rule-map l3 rule-name protocol-type tcp sourceip souce-wildcard-mask eq ftp destinationip destination- wildcard-mask eq ftp & 说明 1. 同一模式 都为 L2或都为 L3 的两个规则不可同名 否则后配置的规则 会覆盖先配置的规则 但不同模式的两个规则可以同名 此时相当于一个带 有部分二层规则的 L3模式规则 只能够应用于 L3模式下 2. 可以通过 acl mode 命令来选择使用二层或者三层流分类规则 3. 二层流分类规则中的 ingress和 egress不能均选择 any Quidway® S5516以太网交换机 用户手册 配置指导分册 QoS与 ACL配置 第 1章 QoS与 ACL 1-5 3. 定义流的动作 将流的动作预先定义好 以便在 ACL的定义中引用 请在全局配置模式下进行下列配置 表1-4 定义流的动作 操作 命令 定义流的动作 flow-action action-name action-list 删除已定义的流的动作 no flow-action { action-num | action-name } 其中 action-list = { car traffic-name | cos cos | deny | dscp { dscp-value | af1 | af2 | af3 | af4 | be | ef } | gather | monitor-port } 当进行帧过滤的配置时 选择 deny 即匹配流分类规则的业务流被过滤丢弃 而允许所有其它流量 通过 4. 定义 ACL作用的时间段 可以预先定义好流的动作生效的时间范围 以便在 ACL的定义中引用 最多 允许配置三个时间段 请在全局配置模式下进行下列配置 表1-5 定义时间段 操作 命令 定义一个时间段 time-range range-name from t1-start to t1-end [ fromt2-start to t2-end [ from t3-start to t3-end ] ] 删除已定义的时间段 no time-range range-name 5. 定义 ACL 将事先定义好的流分类规则和访问控制操作加入到一个 ACL列表中 以完成 访问控制的定义 请在全局配置模式下进行下列配置 表1-6 定义 ACL 操作 命令 定义一个 ACL acl acl-name rule-name action-name [ time-rangerange-name { on | off } ] 删除已定义的 ACL no acl { acl-num | acl-name } Quidway® S5516以太网交换机 用户手册 配置指导分册 QoS与 ACL配置 第 1章 QoS与 ACL 1-6 & 说明 定义访问控制列表 ACL 的命令行关键字是 acl 定义路由策略访问列表 的命令行关键字是 access-list 请注意区分 6. 选择 ACL模式 可以通过下面的命令来选择使用 L2或 L3模式的流分类规则 请在全局配置模式下进行下列配置 表1-7 选择 ACL模式 操作 命令 选择 ACL模式 acl mode { L2 | L3 } 缺省情况下 选择使用 L3流分类规则 7. 激活 ACL配置项 将一个 ACL定义的访问控制策略激活 如处于流的动作有效的时间段 则进 入到运行状态 请在全局配置模式下进行下列配置 表1-8 激活 ACL配置项 操作 命令 激活一个 ACL定义的访问控制策略 access-group { acl-num | acl-name } 取消已激活的访问控制策略 no access-group { acl-num | acl-name } 1.2.2 QoS功能的配置 QoS是一个比较广泛的概念 而 S5516以太网交换机的 QoS 功能主要指流 量监管和输出队列调度 包括两个关键环节 第一步 设置匹配规则 为不同的业务流指定不同的优先级和带宽 第二步 使用 PQ调度算法 将这些规则映射到输出队列中 QoS功能的处理流程如下图所示 Quidway® S5516以太网交换机 用户手册 配置指导分册 QoS与 ACL配置 第 1章 QoS与 ACL 1-7 rule-map配置流 分类规则 Traffic带宽管理 T r a f f i c 流分类 T r a f f i c 1 T r a f f i c N ...... 带宽管 理 Q u e u e 0 队列调度 输入 Q u e u e 1 Q u e u e 2 Q u e u e 7 PQ 输出 ... 图1-3 QoS功能的处理流程 QoS主要配置任务列表如下 l 定义流分类规则 l 定义流量模型 l 定义流的动作 l 选择端口输出队列的入队列映射规则 l 定义 ACL作用的时间段 l 定义 ACL l 选择 ACL模式 l 激活 ACL配置项 1. 定义流分类规则 与帧过滤中的配置 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 相同 Quidway® S5516以太网交换机 用户手册 配置指导分册 QoS与 ACL配置 第 1章 QoS与 ACL 1-8 & 说明 若在后面的流动作配置中采用了流量监管策略 即采用了参数 car 则相 应的流分类规则有如下限制 流量控制动作不支持 MAC-any IP-any以及 any-any rule-map l3对于 4 层规则不支持协议类型 2. 定义流量模型 若需要进行流量监管 则应先定义 QoS流量模型 请在全局配置模式下进行下列配置 表1-9 定义流量模型 操作 命令 定义一个流量模型 traffic traffic-name cdr cdr k 删除已定义的流量模型 no traffic traffic-name 3. 定义流的动作 可以将流的动作预先定义好 以便在 ACL的定义中引用 请在全局配置模式下进行下列配置 表1-10 定义流的动作 操作 命令 定义流的动作 flow-action action-name action-list 删除已定义的流的动作 no flow-action { action-num | action-name } 其中 action-list = { car traffic-name | cos cos | deny | dscp { dscp-value | af1 | af2 | af3 | af4 | be | ef } | gather | monitor-port } 在 QoS 的配置中 action-list 应在 car traffic-name cos cos 以及 dscp { dscp-value | af1 | af2 | af3 | af4 | be | ef }中选择 4. 选择端口输出队列的入队列映射规则 S5516以太网交换机每个端口有 8个输出队列 队列本身采用 PQ调度方式 可以选择按照什么样的规则把输出帧映射到这 8 个端口输出队列中去 有三 Quidway® S5516以太网交换机 用户手册 配置指导分册 QoS与 ACL配置 第 1章 QoS与 ACL 1-9 种规则可供选择 内部优先级 trust-cos 规则 DiffServ业务 trust-dscp 规则以及 IEEE 802.1p trust-vlanpri 规则 请在全局配置模式下进行下列配置 表1-11 选择端口输出队列的入队列映射规则 操作 命令 选择端口输出队列的入队列映射规则 egress queue trust { trust-cos | trust-dscp |trust-vlanpri } 缺省情况下 系统选择 trust-cos作为输出帧进入端口输出队列的映射规则 5. 定义 ACL作用的时间段 与帧过滤中的配置方法相同 6. 定义 ACL 将事先定义好的流分类规则和访问控制操作加入一个 ACL中 以实现流量监 管策略 请在全局配置模式下进行配置 表1-12 定义 ACL 操作 命令 定义一个 ACL acl acl-name rule-name action-name [ time-rangerange-name { on | off } ] 删除已定义的 ACL no acl { acl-num | acl-name } 7. 选择 ACL模式 与帧过滤中的配置方法相同 8. 激活 ACL的配置项 将一个 ACL定义的流量监管策略激活 如处于流的动作有效的时间段 则进 入运行状态 请在全局配置模式下进行下列配置 Quidway® S5516以太网交换机 用户手册 配置指导分册 QoS与 ACL配置 第 1章 QoS与 ACL 1-10 表1-13 激活 ACL配置项 操作 命令 激活一个 ACL定义的访问控制策略 access-group { acl-num | acl-name } 取消已激活的访问控制策略 no access-group { acl-num | acl-name } 1.2.3 镜像功能的配置 S5516 以太网交换机提供基于流分类的镜像功能 即可将匹配流分类规则的 业务流复制到指定的监控端口 用于报文的 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 和监视 业务流的分类还可 以进一步区分为输入 ingress 流或输出 egress 流 镜像时可以选择其 一或者二者都选 使监控手段更加灵活 例如 可以将 GigabitEthernet1/1 端口上的 ARP 报文镜像到指定监控口 通过监控口上连接的协议分析仪进 行测试和记录 镜像的主要配置任务列表如下 l 定义监控端口 l 定义流分类规则 l 定义流的动作 l 定义 ACL作用的时间段 l 定义 ACL l 选择 ACL l 激活 ACL配置项 1. 定义监控端口 S5516 以太网交换机仅可以指定一个监控端口 且不能是汇聚端口或 Trunk 端口 请在全局配置模式下进行下列配置 表1-14 定义监控端口 操作 命令 定义监控端口 monitor-port port -num 删除已定义的监控端口 no monitor-port port -num Quidway® S5516以太网交换机 用户手册 配置指导分册 QoS与 ACL配置 第 1章 QoS与 ACL 1-11 2. 定义流分类规则 S5516 以太网交换机提供基于流规则的镜像 配置方法与帧过滤中的配置方 法相同 当需要监控点到点的流量时 如 IP 到 IP MAC 到 MAC 只需配置一条流 分类命令即可监控输入 输出双方向的业务流 当需要监控点到多点 即 any 的流量时 如监控 GigabitEthernet 1/1 和其 它所有端口之间的业务流 双方向 需要配置如下两条流分类命令 l 将从 GigabitEthernet 1/1 输出的业务流镜像到监控端口 rule-map l2 rule1 ingress gigabitethernet 1/1 egress any l 将从 GigabitEthernet 1/1 输入的业务流镜像到监控端口 rule-map l2 rule2 ingress any egress gigabitethernet 1/1 ingress egress 所示流量方向如下图所示 egressingress 千兆以太网口 S5516 图1-4 ingress egress所示流量方向示意图 3. 定义流的动作 可以将流的动作预先定义好 以便在 ACL的定义中引用 请在全局配置模式下进行下列配置 表1-15 定义流的动作 操作 命令 定义流的动作 flow-action action-name action-list 删除已定义的流的动作 no flow-action { action-num | action-name } 其中 action-list = { car traffic-name | cos cos | deny | dscp { dscp-value | af1 | af2 | af3 | af4 | be | ef } | gather | monitor-port } Quidway® S5516以太网交换机 用户手册 配置指导分册 QoS与 ACL配置 第 1章 QoS与 ACL 1-12 在镜像功能的配置中 action-list应选择 monitor-port 4. 定义 ACL作用的时间段 5. 定义 ACL 6. 选择 ACL模式 7. 激活 ACL配置项 以上几项配置均与帧过滤中的配置方法相同 1.2.4 统计功能的配置 统计功能配置方法与帧过滤的配置基本相同 只是在配置流动作时选择关键 字 gather 统计主要配置任务列表如下 l 定义流分类规则 l 定义流的动作 l 定义 ACL作用的时间段 l 定义 ACL l 选择 ACL模式 l 激活 ACL配置项 l 显示 ACL统计结果 l 流统计信息清零 1. 定义流分类规则 配置与帧过滤中的配置方法相同 & 说明 若在流动作中配置了 gather 则相应的流分类规则有如下限制 流量统计动作只支持 MAC-MAC和 IP-IP 即 rule-map l2不可出现 egress port-num/any和 ingress port-num/any参数 rule-map l3不支持任何协议 类型 不支持 4层应用端口号 也不支持端口号操作符 eq 2. 定义流的动作 可以将流的动作预先定义好 以便在 ACL的定义中引用 Quidway® S5516以太网交换机 用户手册 配置指导分册 QoS与 ACL配置 第 1章 QoS与 ACL 1-13 请在全局配置模式下进行下列配置 表1-16 定义流的动作 操作 命令 定义流的动作 flow-action action-name action-list 删除已定义的流的动作 no flow-action { action-num | action-name } 其中 action-list = { car traffic-name | cos cos | deny | dscp { dscp-value | af1 | af2 | af3 | af4 | be | ef } | gather | monitor-port } 在统计功能的配置中 action-list应选择 gather 3. 定义 ACL作用的时间段 4. 定义 ACL 5. 选择 ACL模式 6. 激活 ACL配置项 以上几项的配置均与帧过滤中的配置方法相同 7. 显示 ACL统计结果 请在除普通用户模式以外的所有其它配置模式下进行下列配置 表1-17 显示 ACL统计结果 操作 命令 显示 ACL统计结果 show acl statistics [ acl-num | acl-name ] & 说明 如果是对已经定义好的 ACL进行再次统计 请按如下步骤操作即可 (1) 相应的流统计信息清零 (2) 显示 ACL统计结果 8. 清除指定流的统计信息 请在特权用户模式下进行下列配置 Quidway® S5516以太网交换机 用户手册 配置指导分册 QoS与 ACL配置 第 1章 QoS与 ACL 1-14 表1-18 清除指定流的统计信息 操作 命令 清除指定流的统计信息 clear acl statistics [ acl-num | acl-nam ] 随后显示统计结果 从中即可看到指定流的统计信息已被清除 1.3 QoS与 ACL的监控与维护 请在全局配置模式下进行下列操作 其中 show 系列命令还可以在除普通用 户模式以外的所有其它配置模式下使用 表1-19 QoS与 ACL的监控与维护 操作 命令 检查 ACL配置与设备实际配置的一致性 check acl [ acl-num | acl-name ] 清除指定流的统计信息 clear acl statistics [ acl-num | acl-nam ] 显示配置的流量参数 show traffic [ traffic name ] 显示流分类规则列表或一条规则的内容 show rule-map [ rule-num | rule-name ] 显示流的动作列表或一个动作的内容 show flow-action [ action-num | action-name ] 显示 ACL的配置信息 show acl [ acl-num | acl-name ] 显示 ACL的模式 show acl mode 显示指定流的统计信息 show acl statistics [ acl-num | acl-name ] 显示流作用的时间段信息 show time-range [ tange-name ] 显示端口输出队列的入队列映射规则 show egress queue trust 查看监控端口 show monitor-port 打开 QoS与 ACL的调测开关 debug qacl 部分监控维护命令的显示信息及说明如下 (1) 显示流分类规则 Quidway(config)# show rule-map rule2 Rule Name: rule2 Rule Number: 1 Rule Type: L2 & L3 Frame Type: 802.3snap frame L2 Datagram Type: IP Quidway® S5516以太网交换机 用户手册 配置指导分册 QoS与 ACL配置 第 1章 QoS与 ACL 1-15 Ingress Port: GigabitEthernet2/1 Source MAC Address: 0000.0000.0000 Egress Port: not configured Destination MAC Address: 0000.0000.0000 L3 Protocol Type: TCP Source IP Address: 1.1.1.1 Source IP Address Mask: 255.255.255.0 L4 Source Port: equal to 23 Destination IP Address: 4.4.4.4 Destination IP Address Mask: 255.255.255.0 L4 Destination Port: equal to 80 Dscp Service: BE Referenced Acl(s) include: acl1 以上显示信息的含义分别是 流规则名称 序号 类型 L2/L3 L2 部分 规则的具体参数 帧 格式 pdf格式笔记格式下载页码格式下载公文格式下载简报格式下载 上层协议类型 输入端口及源 MAC 地址 输出 端口及目的 MAC 地址 L3 部分规则的具体参数 网络层报文的上层协议类 型 源 IP地址 掩码 源端口号 目的 IP地址 掩码 目的端口号 DiffServ 类型以及应用此规则的 ACL等 (2) 显示流的动作 Quidway(config)#show flow-action action-1 Normal Status: Flow-action Name: action-1 Flow-action Number: 0 New DSCP Value: BE New COS Value: 7 CAR Action: traf-1 MIRROR Action: not configured GATHER Action: configured DENY Action: not configured Referenced Acl(s) include: acl1 以上显示信息的含义分别是 当前状态 流动作名称 序号 流动作列表中 各选项的状态 dscp 值 cos 值 流量模型 是否镜像 是否统计 是否丢 弃以及应用此动作的 ACL名称 (3) 显示 ACL Quidway(config)# show acl acl1 Acl Name: acl1 Acl Number: 0 Quidway® S5516以太网交换机 用户手册 配置指导分册 QoS与 ACL配置 第 1章 QoS与 ACL 1-16 Referenced Rule Name: rule2 Referenced Action Name: action-1 Referenced Time Range Name: range-1 Time Range Status: on Access Status: accessed Run Status: running 以上显示信息的含义分别是 ACL 的名称 序号 各项参数的内容 包括应 用的流规则 流动作 时间范围 及其相应状态 是否被激活 是否处于有 效时间段 1.4 QoS与 ACL典型配置举例 1. 组网需求 某公司的企业网通过 S5516以太网交换机的千兆端口实现各大部门之间的互 连 研发部门通过一台 Quidway S3526以太网交换机由 GigabitEthernet 1/1 端口接入 子网地址 10.110.0.0 生产测试部门通过一台 Quidway S3526 以太网交换机由 GigabitEthernet 1/3 端口接入 子网地址 11.110.0.0 管 理部门 12.110.0.0 也通过一台 Quidway S3526 以太网交换机由 GigabitEthernet 2/1和 2/2端口汇聚接入 此外端口GigabitEthernet 3/1~3/4 连接了服务器群 20.110.0.0 并且端口 GigabitEthernet 4/1 上行接一台 Quidway NetEngine 16E路由器与 Internet NE 16E访问接口 129.110.0.1 相连 要求 l 隔离实验室服务器 保证研发部门的实验室服务器 端口 Ethernet 0/1 IP 地址 10.110.0.1 与生产测试部门的实验室服务器 端口 Ethernet 0/1 IP 地址 11.110.0.1 仅能两两互访 不可为别的主机访问 也不 可访问别的主机 l 保证管理部门到服务器群的 1G带宽 l 禁止研发部门和生产测试部门在 8:00~18:00 上班期间通过浏览器访问 Internet Quidway® S5516以太网交换机 用户手册 配置指导分册 QoS与 ACL配置 第 1章 QoS与 ACL 1-17 2. 组网图 Server Cluster S3526 S3526 S3526 Internet NE 16E S5516 GE 1/1 GE 2/1~2/2 GE 1/3 GE 3/1~3/4 GE 4/1 E 0/1 E 0/1 图1-5 ACL与 QoS典型配置举例 3. 配置步骤 & 说明 以下的配置 只列出了与 QoS及 ACL配置相关的命令 (1) 将研发与生产测试部门服务器之间的业务与其它的业务隔离 在研发部门的 S3526以太网交换机上隔离本部门服务器与生产测试部门服 务器之间的业务流 定义两服务器之间的流分类规则 用 Rule-of-Filter1 Rule-of-Filter2 Rule-of-Filter3 Rule-of-Filter4标识 Quaidway3526(config)# rule-map l3 Rule-of-Filter1 0.0.0.0 0.0.0.0 10.110.0.1 255.255.255.0 Quaidway3526(config)# rule-map l3 Rule-of-Filter2 11.110.0.1 255.255.255.0 10.110.0.1 255.255.255.0 Quaidway3526(config)# rule-map l3 Rule-of-Filter3 10.110.0.1 255.255.255.0 0.0.0.0 0.0.0.0 Quaidway3526(config)# rule-map l3 Rule-of-Filter4 10.110.0.1 255.255.255.0 11.110.0.1 255.255.255.0 Quidway® S5516以太网交换机 用户手册 配置指导分册 QoS与 ACL配置 第 1章 QoS与 ACL 1-18 & 说明 财务部门与管理部门位于不同的网段 应该定义并使用 3层流规则 因为 2 层流规则只能用于同一 VLAN内部 定义对符合规则的流的动作 命名为 Action-of-Filter1 Action-of-Filter2 Quaidway3526(config)# flow-action Action-of-Filter1 deny Quaidway3526(config)# flow-action Action-of-Filter2 cos 7 将业务流加入 ACL 列表 命名为 ACL-of-Filter1 ACL-of-Filter2 ACL- of-Filter3 ACL-of-Filter4 Quaidway3526(config)# acl ACL-of-Filter1 Rule-of-Filter1 Action-of-Filter1 Quaidway3526(config)# acl ACL-of-Filter3 Rule-of-Filter3 Action-of-Filter1 Quaidway3526(config)# acl ACL-of-Filter2 Rule-of-Filter2 Action-of-Filter2 Quaidway3526(config)# acl ACL-of-Filter4 Rule-of-Filter4 Action-of-Filter2 激活上述的 ACL Quaidway3526(config)# access-group ACL-of-Filter1 Quaidway3526(config)# access-group ACL-of-Filter3 Quaidway3526(config)# access-group ACL-of-Filter2 Quaidway3526(config)# access-group ACL-of-Filter4 在生产测试部门的 S3526以太网交换机上隔离本部门服务器与研发部门服 务器之间的业务流 类同 略 在 S5516以太网交换机上将上述两服务器之间的业务流与其它的业务流隔 离 定义两服务器之间的流分类规则 用 Rule-of-Server1 和 Rule-of-Server2 标识 Quaidway(config)# rule-map l3 Rule-of-Server1 10.110.0.1 255.255.255.0 11.110.0.1 255.255.255.0 Quaidway(config)# rule-map l3 Rule-of-Server2 11.110.0.1 255.255.255.0 10.110.0.1 255.255.255.0 Quidway® S5516以太网交换机 用户手册 配置指导分册 QoS与 ACL配置 第 1章 QoS与 ACL 1-19 & 说明 由于在研发部门和生产测试部门在各自的 S3526上对所有其它主机与服务器 之间的相互访问作了 deny动作的定义 所以无需在 S5516上再作相应设置 定义对符合规则的流的动作 命名为 Action-of-Server Quaidway(config)# flow-action Action-of-Server cos 7 将业务流加入 ACL列表 命名为 ACL-of-Server1 ACL-of-Server2 Quaidway(config)# acl ACL-of-Server1 Rule-of-Server1 Action-of-Server Quaidway(config)# acl ACL-of-Server2 Rule-of-Server2 Action-of-Server 激活上述 ACL Quaidway(config)# access-group ACL-of-Server1 Quaidway(config)# access-group ACL-of-Server2 (2) 保证管理部门到服务器群的 1G带宽 定义管理部门到服务器群业务的流分类规则 名字为 Rule-of-Highway Quaidway(config)# rule-map l2 Rule-of-Highway ingrss gigabitethernet 2/1 egress gigabitethernet 3/1 定义业务流的流量模型 命名为 Traffic-of-Highway Quaidway(config)# traffic Traffic-of-Highway cdr 1000000 k 定义对符合规则的流的动作 命名为 Action-of-Highway Quaidway(config)# flow-action Action-of-Highway car Traffic-of-Highway 将业务流加入 ACL列表 命名为 ACL-of-Highway Quaidway(config)# acl ACL-of-Highway Rule-of-Highway Action-of-Highway 激活 ACL-of-Highway Quaidway(config)# access-group ACL-of-Highway (3) 禁止研发部门和生产测试部门在上班时间使用浏览器访问 Internet 为禁止研发部门在上班时间使用浏览器访问 Internet 定义一条规则 命 名为 Rule-of-Deny1 Quaidway(config)# rule-map l3 Rule-of-Deny1 protocol-type tcp 10.110.0.0 255.255.0.0 129.110.0.1 255.255.0.0 eq http Quidway® S5516以太网交换机 用户手册 配置指导分册 QoS与 ACL配置 第 1章 QoS与 ACL 1-20 为禁止生产测试部门在上班时间使用浏览器访问 Internet 定义一条规则 命名为 Rule-of-Deny2 Quaidway(config)# rule-map l3 Rule-of-Deny2 protocol-type tcp 11.110.0.0 255.255.0.0 129.110.0.1 255.255.0.0 eq http 定义对符合规则的流的动作 命名为 Action-of-Deny Quaidway(config)# flow-action Action-of-Deny deny 定义动作生效的时间段 从 8点到 18点 命名为 Timerange-of-Deny Quaidway(config)# time-range Timerange-of-Deny from 8:00:00 to 18:00:01 & 说明 动作生效的时间段实际上在结束点前一秒结束 因此在定义上述时间段时 为了保证在 18点整点结束 特意将结束时间定为 18:00:01 将业务流加入 ACL列表 命名为 ACL-of-Deny1和 ACL-of-Deny2 Quaidway(config)# acl ACL-of-Deny1 Rule-of-Deny1 Action-of-Deny time- range Timerange-of-Deny on Quaidway(config)# acl ACL-of-Deny2 Rule-of-Deny2 Action-of-Deny time- range Timerange-of-Deny on 激活 ACL-of-Deny1和 ACL-of-Deny2 Quaidway(config)# access-group ACL-of-Deny1 Quaidway(config)# access-group ACL-of-Deny2