Quidway® S5516以太网交换机 用户手册 配置指导分册
QoS与 ACL配置 目 录
i
目 录
第 1章 QoS与 ACL ............................................................................................................. 1-1
1.1 QoS与 ACL简介.......................................................................................................1-1
1.1.1 流分类与 ACL ..................................................................................................1-1
1.1.2 拥塞管理.........................................................................................................1-2
1.2 QoS与 ACL配置.......................................................................................................1-2
1.2.1 帧过滤功能的配置............................................................................................1-2
1.2.2 QoS功能的配置...............................................................................................1-6
1.2.3 镜像功能的配置.............................................................................................1-10
1.2.4 统计功能的配置.............................................................................................1-12
1.3 QoS与 ACL的监控与维护........................................................................................1-14
1.4 QoS与 ACL典型配置举例........................................................................................1-16
Quidway® S5516以太网交换机 用户手册 配置指导分册
QoS与 ACL配置 第 1章 QoS与 ACL
1-1
第1章 QoS 与 ACL
在大型园区网 企业网乃至城域网中 S5516 以太网交换机主要放置于汇聚
层 解决了 VLAN划分和路由转发分布化的问
题
快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题
对于 VLAN之间或主机之
间的访问控制和流量监管 S5516 以太网交换机同样有所考虑 本章将分别
介绍利用复杂流分类和访问控制列表实现的帧过滤 带宽管理 镜像和流统
计等功能
1.1 QoS与 ACL简介
1.1.1 流分类与 ACL
1. 流
流 traffic 即业务流 指所有通过交换机的报文
2. 流分类
流分类 traffic classification 是指采用一定的规则识别出符合某类特征的报
文 而分类规则 classification rule 指配置管理员根据管理需求配置的过
滤规则 可以很简单 比如可根据 IP 报文头的 ToS 字段 识别出有不同优
先级特征的流量 也可以很复杂 如综合链路层 Layer 2 网络层 layer
3 传输层 layer 4 的信息比如 MAC地址 IP协议 源地址 目的地址
或应用程序的端口号等相关信息来对报文进行分类 S5516 以太网交换机支
持后者 即复杂流分类规则 一般的分类依据都局限在封装报文的头部信息
使用报文的内容作为分类的标准的做法比较少见
3. ACL
如前所述 进行流分类的目的是为了提供有区别的服务 它必须与某种流控
和资源分配动作关联起来 这样才有意义 利用 ACL Access Control List
访问控制列表 即可实现将流规则与流操作关联起来的功能 如帧过滤 带
宽管理 镜像和流统计等 具体采取何种流控动作 与所处的阶段以及网络
当前的负载状况有关 比如 当报文进入网络时依据承诺的平均速率对报文
进行监管 流出结点之前进行队列调度管理等
Quidway® S5516以太网交换机 用户手册 配置指导分册
QoS与 ACL配置 第 1章 QoS与 ACL
1-2
1.1.2 拥塞管理
当拥塞发生时 多个报文会同时竞争使用资源 此时如何制定一个资源的调
度策略以决定报文转发的处理次序 就是拥塞管理的中心内容 对于拥塞管
理 一般采用排队技术 这里介绍 S5516以太网交换机采用的队列调度机制
PQ Priority Queueing 优先队列 方式 这种队列算法可以解决特定
的网络流量问题 对带宽资源的分配 延迟 延迟抖动等有着十分重要的影
响
1. PQ
high
medium
normal
low
分类
出队调度
离开接口的数据包
队列
需由此接口发
送的数据包
图1-1 优先队列示意图
PQ 队列调度机制是针对关键业务型应用
设计
领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计
的 关键业务有一重要的特点
即在拥塞发生时要求优先获得服务以减小响应的延迟 在 S5516以太网交换
机中 所有报文分成最多至 8类 分别为 7~0队列 它们的优先级依次降低
在队列调度时 PQ 严格按照优先级从高到低的次序优先发送较高优先级队
列中的分组 当较高优先级队列为空时 再发送较低优先级队列中的分组
这样 将关键业务 如 SNMP 的分组放入较高优先级的队列 将非关键业
务 如 E-Mail 的分组放入较低优先级的队列 可以保证关键业务的分组被
优先传送 非关键业务的分组在处理关键业务数据的空闲间隙被传送
PQ 的缺点是 拥塞发生时 如果较高优先级队列中长时间有分组存在 那
么低优先级队列中的报文就会由于得不到服务而 饿死
1.2 QoS与 ACL配置
1.2.1 帧过滤功能的配置
帧过滤就是将业务流进行过滤操作 如丢弃操作 deny 即将匹配流分类
规则的业务流丢弃而允许所有其它流量通过 由于 S5516以太网交换机采用
了复杂的流分类规则 这样可以针对业务流的二 三 四层报文的各种信息
Quidway® S5516以太网交换机 用户手册 配置指导分册
QoS与 ACL配置 第 1章 QoS与 ACL
1-3
进行过滤 丢弃那些无用 不可靠 值得怀疑的业务流 从而增强了网络的
安全性
要实现帧过滤 有两个关键的环节
第一步 是对入端口的流量按即定的规则进行流分类
第二步 对区分出来的流进行过滤 丢弃操作 deny deny 为缺省的
访问控制操作
帧过滤的操作流程如下图所示
T
r
a
f
f
i
c
流分类
Tra
ff
ic
1
Traff
icN
......
Filter操作
Traff
icN
L2/L3转发
输出调度
输入
rule-map配置流分
类规则
deny命令
图1-2 帧过滤的处理流程
帧过滤的主要配置任务列表如下
l 定义流分类规则
l 定义流的动作
l 定义 ACL作用的时间段
l 定义 ACL
l 选择 ACL模式
l 激活 ACL配置项
2. 定义流分类规则
S5516 以太网交换机支持综合二 三 四层报文信息来共同描述一个流的特
征 用这些信息进行复杂的流分类
Quidway® S5516以太网交换机 用户手册 配置指导分册
QoS与 ACL配置 第 1章 QoS与 ACL
1-4
请在全局配置模式下进行下列配置
(1) 定义二层流分类规则
表1-1 定义二层流分类规则
操作 命令
定义二层流分类规则
rule-map l2 rule-name [ [ frame-type { 802.3 |
802.3snap | 802.3/802.2 | ether_ii } ] protocol-type
{ arp | ip | rarp } ] ingress { any | in-mac | inport-num }
egress { any | out-mac | outport-num }
删除已定义的流分类规则 no rule-map { rule-num | rule-name }
各参数的详细说明请参见命令参考手册
(1) 定义三 四层流分类规则
表1-2 定义三 四层流分类规则
操作 命令
定义三 四层流分类规则
rule-map l3 rule-name [ protocol-type { icmp | ospf |
tcp | udp } ] sourceip souce-wildcard-mask [ eq { http |
telnet | ftp | tftp | dns | snmp | smtp | source-port } ]
destinationip destination-wildcard-mask [ eq { http |
telnet | ftp | tftp | dns | snmp | smtp | dest-port } [ dscp
{ dscp-value | af1 | af2 | af3 | af4 | be | ef } ] ]
删除已定义的流分类规则 no rule-map { rule-num | rule-name }
各参数的详细说明请参见命令参考手册 对不同的协议类型 有不同的参数
组合 如
表1-3 定义 TCP协议下 FTP方式的流分类规则
操作 命令
定义 TCP协议的规则
rule-map l3 rule-name protocol-type tcp sourceip
souce-wildcard-mask eq ftp destinationip destination-
wildcard-mask eq ftp
& 说明
1. 同一模式 都为 L2或都为 L3 的两个规则不可同名 否则后配置的规则
会覆盖先配置的规则 但不同模式的两个规则可以同名 此时相当于一个带
有部分二层规则的 L3模式规则 只能够应用于 L3模式下
2. 可以通过 acl mode 命令来选择使用二层或者三层流分类规则
3. 二层流分类规则中的 ingress和 egress不能均选择 any
Quidway® S5516以太网交换机 用户手册 配置指导分册
QoS与 ACL配置 第 1章 QoS与 ACL
1-5
3. 定义流的动作
将流的动作预先定义好 以便在 ACL的定义中引用
请在全局配置模式下进行下列配置
表1-4 定义流的动作
操作 命令
定义流的动作 flow-action action-name action-list
删除已定义的流的动作 no flow-action { action-num | action-name }
其中 action-list = { car traffic-name | cos cos | deny | dscp { dscp-value | af1
| af2 | af3 | af4 | be | ef } | gather | monitor-port } 当进行帧过滤的配置时
选择 deny 即匹配流分类规则的业务流被过滤丢弃 而允许所有其它流量
通过
4. 定义 ACL作用的时间段
可以预先定义好流的动作生效的时间范围 以便在 ACL的定义中引用 最多
允许配置三个时间段
请在全局配置模式下进行下列配置
表1-5 定义时间段
操作 命令
定义一个时间段 time-range range-name from t1-start to t1-end [ fromt2-start to t2-end [ from t3-start to t3-end ] ]
删除已定义的时间段 no time-range range-name
5. 定义 ACL
将事先定义好的流分类规则和访问控制操作加入到一个 ACL列表中 以完成
访问控制的定义
请在全局配置模式下进行下列配置
表1-6 定义 ACL
操作 命令
定义一个 ACL acl acl-name rule-name action-name [ time-rangerange-name { on | off } ]
删除已定义的 ACL no acl { acl-num | acl-name }
Quidway® S5516以太网交换机 用户手册 配置指导分册
QoS与 ACL配置 第 1章 QoS与 ACL
1-6
& 说明
定义访问控制列表 ACL 的命令行关键字是 acl 定义路由策略访问列表
的命令行关键字是 access-list 请注意区分
6. 选择 ACL模式
可以通过下面的命令来选择使用 L2或 L3模式的流分类规则
请在全局配置模式下进行下列配置
表1-7 选择 ACL模式
操作 命令
选择 ACL模式 acl mode { L2 | L3 }
缺省情况下 选择使用 L3流分类规则
7. 激活 ACL配置项
将一个 ACL定义的访问控制策略激活 如处于流的动作有效的时间段 则进
入到运行状态
请在全局配置模式下进行下列配置
表1-8 激活 ACL配置项
操作 命令
激活一个 ACL定义的访问控制策略 access-group { acl-num | acl-name }
取消已激活的访问控制策略 no access-group { acl-num | acl-name }
1.2.2 QoS功能的配置
QoS是一个比较广泛的概念 而 S5516以太网交换机的 QoS 功能主要指流
量监管和输出队列调度 包括两个关键环节
第一步 设置匹配规则 为不同的业务流指定不同的优先级和带宽
第二步 使用 PQ调度算法 将这些规则映射到输出队列中
QoS功能的处理流程如下图所示
Quidway® S5516以太网交换机 用户手册 配置指导分册
QoS与 ACL配置 第 1章 QoS与 ACL
1-7
rule-map配置流
分类规则
Traffic带宽管理
T
r
a
f
f
i
c
流分类
T
r
a
f
f
i
c
1
T
r
a
f
f
i
c
N
......
带宽管
理
Q
u
e
u
e
0
队列调度
输入
Q
u
e
u
e
1
Q
u
e
u
e
2
Q
u
e
u
e
7
PQ
输出
...
图1-3 QoS功能的处理流程
QoS主要配置任务列表如下
l 定义流分类规则
l 定义流量模型
l 定义流的动作
l 选择端口输出队列的入队列映射规则
l 定义 ACL作用的时间段
l 定义 ACL
l 选择 ACL模式
l 激活 ACL配置项
1. 定义流分类规则
与帧过滤中的配置
方法
快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载
相同
Quidway® S5516以太网交换机 用户手册 配置指导分册
QoS与 ACL配置 第 1章 QoS与 ACL
1-8
& 说明
若在后面的流动作配置中采用了流量监管策略 即采用了参数 car 则相
应的流分类规则有如下限制
流量控制动作不支持 MAC-any IP-any以及 any-any rule-map l3对于 4
层规则不支持协议类型
2. 定义流量模型
若需要进行流量监管 则应先定义 QoS流量模型
请在全局配置模式下进行下列配置
表1-9 定义流量模型
操作 命令
定义一个流量模型 traffic traffic-name cdr cdr k
删除已定义的流量模型 no traffic traffic-name
3. 定义流的动作
可以将流的动作预先定义好 以便在 ACL的定义中引用
请在全局配置模式下进行下列配置
表1-10 定义流的动作
操作 命令
定义流的动作 flow-action action-name action-list
删除已定义的流的动作 no flow-action { action-num | action-name }
其中 action-list = { car traffic-name | cos cos | deny | dscp { dscp-value | af1
| af2 | af3 | af4 | be | ef } | gather | monitor-port }
在 QoS 的配置中 action-list 应在 car traffic-name cos cos 以及 dscp
{ dscp-value | af1 | af2 | af3 | af4 | be | ef }中选择
4. 选择端口输出队列的入队列映射规则
S5516以太网交换机每个端口有 8个输出队列 队列本身采用 PQ调度方式
可以选择按照什么样的规则把输出帧映射到这 8 个端口输出队列中去 有三
Quidway® S5516以太网交换机 用户手册 配置指导分册
QoS与 ACL配置 第 1章 QoS与 ACL
1-9
种规则可供选择 内部优先级 trust-cos 规则 DiffServ业务 trust-dscp
规则以及 IEEE 802.1p trust-vlanpri 规则
请在全局配置模式下进行下列配置
表1-11 选择端口输出队列的入队列映射规则
操作 命令
选择端口输出队列的入队列映射规则 egress queue trust { trust-cos | trust-dscp |trust-vlanpri }
缺省情况下 系统选择 trust-cos作为输出帧进入端口输出队列的映射规则
5. 定义 ACL作用的时间段
与帧过滤中的配置方法相同
6. 定义 ACL
将事先定义好的流分类规则和访问控制操作加入一个 ACL中 以实现流量监
管策略
请在全局配置模式下进行配置
表1-12 定义 ACL
操作 命令
定义一个 ACL acl acl-name rule-name action-name [ time-rangerange-name { on | off } ]
删除已定义的 ACL no acl { acl-num | acl-name }
7. 选择 ACL模式
与帧过滤中的配置方法相同
8. 激活 ACL的配置项
将一个 ACL定义的流量监管策略激活 如处于流的动作有效的时间段 则进
入运行状态
请在全局配置模式下进行下列配置
Quidway® S5516以太网交换机 用户手册 配置指导分册
QoS与 ACL配置 第 1章 QoS与 ACL
1-10
表1-13 激活 ACL配置项
操作 命令
激活一个 ACL定义的访问控制策略 access-group { acl-num | acl-name }
取消已激活的访问控制策略 no access-group { acl-num | acl-name }
1.2.3 镜像功能的配置
S5516 以太网交换机提供基于流分类的镜像功能 即可将匹配流分类规则的
业务流复制到指定的监控端口 用于报文的
分析
定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析
和监视 业务流的分类还可
以进一步区分为输入 ingress 流或输出 egress 流 镜像时可以选择其
一或者二者都选 使监控手段更加灵活 例如 可以将 GigabitEthernet1/1
端口上的 ARP 报文镜像到指定监控口 通过监控口上连接的协议分析仪进
行测试和记录
镜像的主要配置任务列表如下
l 定义监控端口
l 定义流分类规则
l 定义流的动作
l 定义 ACL作用的时间段
l 定义 ACL
l 选择 ACL
l 激活 ACL配置项
1. 定义监控端口
S5516 以太网交换机仅可以指定一个监控端口 且不能是汇聚端口或 Trunk
端口
请在全局配置模式下进行下列配置
表1-14 定义监控端口
操作 命令
定义监控端口 monitor-port port -num
删除已定义的监控端口 no monitor-port port -num
Quidway® S5516以太网交换机 用户手册 配置指导分册
QoS与 ACL配置 第 1章 QoS与 ACL
1-11
2. 定义流分类规则
S5516 以太网交换机提供基于流规则的镜像 配置方法与帧过滤中的配置方
法相同
当需要监控点到点的流量时 如 IP 到 IP MAC 到 MAC 只需配置一条流
分类命令即可监控输入 输出双方向的业务流
当需要监控点到多点 即 any 的流量时 如监控 GigabitEthernet 1/1 和其
它所有端口之间的业务流 双方向 需要配置如下两条流分类命令
l 将从 GigabitEthernet 1/1 输出的业务流镜像到监控端口
rule-map l2 rule1 ingress gigabitethernet 1/1 egress any
l 将从 GigabitEthernet 1/1 输入的业务流镜像到监控端口
rule-map l2 rule2 ingress any egress gigabitethernet 1/1
ingress egress 所示流量方向如下图所示
egressingress
千兆以太网口
S5516
图1-4 ingress egress所示流量方向示意图
3. 定义流的动作
可以将流的动作预先定义好 以便在 ACL的定义中引用
请在全局配置模式下进行下列配置
表1-15 定义流的动作
操作 命令
定义流的动作 flow-action action-name action-list
删除已定义的流的动作 no flow-action { action-num | action-name }
其中 action-list = { car traffic-name | cos cos | deny | dscp { dscp-value | af1
| af2 | af3 | af4 | be | ef } | gather | monitor-port }
Quidway® S5516以太网交换机 用户手册 配置指导分册
QoS与 ACL配置 第 1章 QoS与 ACL
1-12
在镜像功能的配置中 action-list应选择 monitor-port
4. 定义 ACL作用的时间段
5. 定义 ACL
6. 选择 ACL模式
7. 激活 ACL配置项
以上几项配置均与帧过滤中的配置方法相同
1.2.4 统计功能的配置
统计功能配置方法与帧过滤的配置基本相同 只是在配置流动作时选择关键
字 gather
统计主要配置任务列表如下
l 定义流分类规则
l 定义流的动作
l 定义 ACL作用的时间段
l 定义 ACL
l 选择 ACL模式
l 激活 ACL配置项
l 显示 ACL统计结果
l 流统计信息清零
1. 定义流分类规则
配置与帧过滤中的配置方法相同
& 说明
若在流动作中配置了 gather 则相应的流分类规则有如下限制
流量统计动作只支持 MAC-MAC和 IP-IP 即 rule-map l2不可出现 egress
port-num/any和 ingress port-num/any参数 rule-map l3不支持任何协议
类型 不支持 4层应用端口号 也不支持端口号操作符 eq
2. 定义流的动作
可以将流的动作预先定义好 以便在 ACL的定义中引用
Quidway® S5516以太网交换机 用户手册 配置指导分册
QoS与 ACL配置 第 1章 QoS与 ACL
1-13
请在全局配置模式下进行下列配置
表1-16 定义流的动作
操作 命令
定义流的动作 flow-action action-name action-list
删除已定义的流的动作 no flow-action { action-num | action-name }
其中 action-list = { car traffic-name | cos cos | deny | dscp { dscp-value | af1
| af2 | af3 | af4 | be | ef } | gather | monitor-port }
在统计功能的配置中 action-list应选择 gather
3. 定义 ACL作用的时间段
4. 定义 ACL
5. 选择 ACL模式
6. 激活 ACL配置项
以上几项的配置均与帧过滤中的配置方法相同
7. 显示 ACL统计结果
请在除普通用户模式以外的所有其它配置模式下进行下列配置
表1-17 显示 ACL统计结果
操作 命令
显示 ACL统计结果 show acl statistics [ acl-num | acl-name ]
& 说明
如果是对已经定义好的 ACL进行再次统计 请按如下步骤操作即可
(1) 相应的流统计信息清零
(2) 显示 ACL统计结果
8. 清除指定流的统计信息
请在特权用户模式下进行下列配置
Quidway® S5516以太网交换机 用户手册 配置指导分册
QoS与 ACL配置 第 1章 QoS与 ACL
1-14
表1-18 清除指定流的统计信息
操作 命令
清除指定流的统计信息 clear acl statistics [ acl-num | acl-nam ]
随后显示统计结果 从中即可看到指定流的统计信息已被清除
1.3 QoS与 ACL的监控与维护
请在全局配置模式下进行下列操作 其中 show 系列命令还可以在除普通用
户模式以外的所有其它配置模式下使用
表1-19 QoS与 ACL的监控与维护
操作 命令
检查 ACL配置与设备实际配置的一致性 check acl [ acl-num | acl-name ]
清除指定流的统计信息 clear acl statistics [ acl-num | acl-nam ]
显示配置的流量参数 show traffic [ traffic name ]
显示流分类规则列表或一条规则的内容 show rule-map [ rule-num | rule-name ]
显示流的动作列表或一个动作的内容 show flow-action [ action-num | action-name ]
显示 ACL的配置信息 show acl [ acl-num | acl-name ]
显示 ACL的模式 show acl mode
显示指定流的统计信息 show acl statistics [ acl-num | acl-name ]
显示流作用的时间段信息 show time-range [ tange-name ]
显示端口输出队列的入队列映射规则 show egress queue trust
查看监控端口 show monitor-port
打开 QoS与 ACL的调测开关 debug qacl
部分监控维护命令的显示信息及说明如下
(1) 显示流分类规则
Quidway(config)# show rule-map rule2
Rule Name: rule2
Rule Number: 1
Rule Type: L2 & L3
Frame Type: 802.3snap frame
L2 Datagram Type: IP
Quidway® S5516以太网交换机 用户手册 配置指导分册
QoS与 ACL配置 第 1章 QoS与 ACL
1-15
Ingress Port: GigabitEthernet2/1
Source MAC Address: 0000.0000.0000
Egress Port: not configured
Destination MAC Address: 0000.0000.0000
L3 Protocol Type: TCP
Source IP Address: 1.1.1.1
Source IP Address Mask: 255.255.255.0
L4 Source Port: equal to 23
Destination IP Address: 4.4.4.4
Destination IP Address Mask: 255.255.255.0
L4 Destination Port: equal to 80
Dscp Service: BE
Referenced Acl(s) include:
acl1
以上显示信息的含义分别是 流规则名称 序号 类型 L2/L3 L2 部分
规则的具体参数 帧
格式
pdf格式笔记格式下载页码格式下载公文格式下载简报格式下载
上层协议类型 输入端口及源 MAC 地址 输出
端口及目的 MAC 地址 L3 部分规则的具体参数 网络层报文的上层协议类
型 源 IP地址 掩码 源端口号 目的 IP地址 掩码 目的端口号 DiffServ
类型以及应用此规则的 ACL等
(2) 显示流的动作
Quidway(config)#show flow-action action-1
Normal Status:
Flow-action Name: action-1
Flow-action Number: 0
New DSCP Value: BE
New COS Value: 7
CAR Action: traf-1
MIRROR Action: not configured
GATHER Action: configured
DENY Action: not configured
Referenced Acl(s) include:
acl1
以上显示信息的含义分别是 当前状态 流动作名称 序号 流动作列表中
各选项的状态 dscp 值 cos 值 流量模型 是否镜像 是否统计 是否丢
弃以及应用此动作的 ACL名称
(3) 显示 ACL
Quidway(config)# show acl acl1
Acl Name: acl1
Acl Number: 0
Quidway® S5516以太网交换机 用户手册 配置指导分册
QoS与 ACL配置 第 1章 QoS与 ACL
1-16
Referenced Rule Name: rule2
Referenced Action Name: action-1
Referenced Time Range Name: range-1
Time Range Status: on
Access Status: accessed
Run Status: running
以上显示信息的含义分别是 ACL 的名称 序号 各项参数的内容 包括应
用的流规则 流动作 时间范围 及其相应状态 是否被激活 是否处于有
效时间段
1.4 QoS与 ACL典型配置举例
1. 组网需求
某公司的企业网通过 S5516以太网交换机的千兆端口实现各大部门之间的互
连 研发部门通过一台 Quidway S3526以太网交换机由 GigabitEthernet 1/1
端口接入 子网地址 10.110.0.0 生产测试部门通过一台 Quidway S3526
以太网交换机由 GigabitEthernet 1/3 端口接入 子网地址 11.110.0.0 管
理部门 12.110.0.0 也通过一台 Quidway S3526 以太网交换机由
GigabitEthernet 2/1和 2/2端口汇聚接入 此外端口GigabitEthernet 3/1~3/4
连接了服务器群 20.110.0.0 并且端口 GigabitEthernet 4/1 上行接一台
Quidway NetEngine 16E路由器与 Internet NE 16E访问接口 129.110.0.1
相连
要求
l 隔离实验室服务器 保证研发部门的实验室服务器 端口 Ethernet 0/1
IP 地址 10.110.0.1 与生产测试部门的实验室服务器 端口 Ethernet
0/1 IP 地址 11.110.0.1 仅能两两互访 不可为别的主机访问 也不
可访问别的主机
l 保证管理部门到服务器群的 1G带宽
l 禁止研发部门和生产测试部门在 8:00~18:00 上班期间通过浏览器访问
Internet
Quidway® S5516以太网交换机 用户手册 配置指导分册
QoS与 ACL配置 第 1章 QoS与 ACL
1-17
2. 组网图
Server Cluster
S3526 S3526
S3526
Internet
NE 16E
S5516
GE 1/1
GE 2/1~2/2 GE 1/3
GE 3/1~3/4
GE 4/1
E 0/1
E 0/1
图1-5 ACL与 QoS典型配置举例
3. 配置步骤
& 说明
以下的配置 只列出了与 QoS及 ACL配置相关的命令
(1) 将研发与生产测试部门服务器之间的业务与其它的业务隔离
在研发部门的 S3526以太网交换机上隔离本部门服务器与生产测试部门服
务器之间的业务流
定义两服务器之间的流分类规则 用 Rule-of-Filter1 Rule-of-Filter2
Rule-of-Filter3 Rule-of-Filter4标识
Quaidway3526(config)# rule-map l3 Rule-of-Filter1 0.0.0.0 0.0.0.0
10.110.0.1 255.255.255.0
Quaidway3526(config)# rule-map l3 Rule-of-Filter2 11.110.0.1
255.255.255.0 10.110.0.1 255.255.255.0
Quaidway3526(config)# rule-map l3 Rule-of-Filter3 10.110.0.1
255.255.255.0 0.0.0.0 0.0.0.0
Quaidway3526(config)# rule-map l3 Rule-of-Filter4 10.110.0.1
255.255.255.0 11.110.0.1 255.255.255.0
Quidway® S5516以太网交换机 用户手册 配置指导分册
QoS与 ACL配置 第 1章 QoS与 ACL
1-18
& 说明
财务部门与管理部门位于不同的网段 应该定义并使用 3层流规则 因为 2
层流规则只能用于同一 VLAN内部
定义对符合规则的流的动作 命名为 Action-of-Filter1 Action-of-Filter2
Quaidway3526(config)# flow-action Action-of-Filter1 deny
Quaidway3526(config)# flow-action Action-of-Filter2 cos 7
将业务流加入 ACL 列表 命名为 ACL-of-Filter1 ACL-of-Filter2 ACL-
of-Filter3 ACL-of-Filter4
Quaidway3526(config)# acl ACL-of-Filter1 Rule-of-Filter1 Action-of-Filter1
Quaidway3526(config)# acl ACL-of-Filter3 Rule-of-Filter3 Action-of-Filter1
Quaidway3526(config)# acl ACL-of-Filter2 Rule-of-Filter2 Action-of-Filter2
Quaidway3526(config)# acl ACL-of-Filter4 Rule-of-Filter4 Action-of-Filter2
激活上述的 ACL
Quaidway3526(config)# access-group ACL-of-Filter1
Quaidway3526(config)# access-group ACL-of-Filter3
Quaidway3526(config)# access-group ACL-of-Filter2
Quaidway3526(config)# access-group ACL-of-Filter4
在生产测试部门的 S3526以太网交换机上隔离本部门服务器与研发部门服
务器之间的业务流
类同 略
在 S5516以太网交换机上将上述两服务器之间的业务流与其它的业务流隔
离
定义两服务器之间的流分类规则 用 Rule-of-Server1 和 Rule-of-Server2
标识
Quaidway(config)# rule-map l3 Rule-of-Server1 10.110.0.1 255.255.255.0
11.110.0.1 255.255.255.0
Quaidway(config)# rule-map l3 Rule-of-Server2 11.110.0.1 255.255.255.0
10.110.0.1 255.255.255.0
Quidway® S5516以太网交换机 用户手册 配置指导分册
QoS与 ACL配置 第 1章 QoS与 ACL
1-19
& 说明
由于在研发部门和生产测试部门在各自的 S3526上对所有其它主机与服务器
之间的相互访问作了 deny动作的定义 所以无需在 S5516上再作相应设置
定义对符合规则的流的动作 命名为 Action-of-Server
Quaidway(config)# flow-action Action-of-Server cos 7
将业务流加入 ACL列表 命名为 ACL-of-Server1 ACL-of-Server2
Quaidway(config)# acl ACL-of-Server1 Rule-of-Server1 Action-of-Server
Quaidway(config)# acl ACL-of-Server2 Rule-of-Server2 Action-of-Server
激活上述 ACL
Quaidway(config)# access-group ACL-of-Server1
Quaidway(config)# access-group ACL-of-Server2
(2) 保证管理部门到服务器群的 1G带宽
定义管理部门到服务器群业务的流分类规则 名字为 Rule-of-Highway
Quaidway(config)# rule-map l2 Rule-of-Highway ingrss gigabitethernet 2/1
egress gigabitethernet 3/1
定义业务流的流量模型 命名为 Traffic-of-Highway
Quaidway(config)# traffic Traffic-of-Highway cdr 1000000 k
定义对符合规则的流的动作 命名为 Action-of-Highway
Quaidway(config)# flow-action Action-of-Highway car Traffic-of-Highway
将业务流加入 ACL列表 命名为 ACL-of-Highway
Quaidway(config)# acl ACL-of-Highway Rule-of-Highway Action-of-Highway
激活 ACL-of-Highway
Quaidway(config)# access-group ACL-of-Highway
(3) 禁止研发部门和生产测试部门在上班时间使用浏览器访问 Internet
为禁止研发部门在上班时间使用浏览器访问 Internet 定义一条规则 命
名为 Rule-of-Deny1
Quaidway(config)# rule-map l3 Rule-of-Deny1 protocol-type tcp 10.110.0.0
255.255.0.0 129.110.0.1 255.255.0.0 eq http
Quidway® S5516以太网交换机 用户手册 配置指导分册
QoS与 ACL配置 第 1章 QoS与 ACL
1-20
为禁止生产测试部门在上班时间使用浏览器访问 Internet 定义一条规则
命名为 Rule-of-Deny2
Quaidway(config)# rule-map l3 Rule-of-Deny2 protocol-type tcp 11.110.0.0
255.255.0.0 129.110.0.1 255.255.0.0 eq http
定义对符合规则的流的动作 命名为 Action-of-Deny
Quaidway(config)# flow-action Action-of-Deny deny
定义动作生效的时间段 从 8点到 18点 命名为 Timerange-of-Deny
Quaidway(config)# time-range Timerange-of-Deny from 8:00:00 to 18:00:01
& 说明
动作生效的时间段实际上在结束点前一秒结束 因此在定义上述时间段时
为了保证在 18点整点结束 特意将结束时间定为 18:00:01
将业务流加入 ACL列表 命名为 ACL-of-Deny1和 ACL-of-Deny2
Quaidway(config)# acl ACL-of-Deny1 Rule-of-Deny1 Action-of-Deny time-
range Timerange-of-Deny on
Quaidway(config)# acl ACL-of-Deny2 Rule-of-Deny2 Action-of-Deny time-
range Timerange-of-Deny on
激活 ACL-of-Deny1和 ACL-of-Deny2
Quaidway(config)# access-group ACL-of-Deny1
Quaidway(config)# access-group ACL-of-Deny2