• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C S7500系列以太网交换机典型配置案例 Release3135(V1.00)

02-QACL典型配置案例

本章节下载  (268.2 KB)

02-QACL典型配置案例


QACL典型配置举例

关键词:ACL,QoS

摘  要:本文主要介绍以太网交换机的QACL功能在具体组网中的应用配置,根据用户不同的需求,分别介绍基于时间段的ACL、流量限速、流量监管、重定向、流镜像、流量统计、优先级重标记、队列调度、以及基于流的灵活QinQ功能及应用。

缩略语:ACL(Access Control List,访问控制列表)、QoS(Quality of Service,服务质量)

 


第1章  QACL功能介绍

1.1  支持能力

S7500系列以太网交换机的业务板分为A型业务板和非A型业务板两种类型,不同类型的业务板支持的ACL/QoS功能如下表所示。

表1-1 A型业务板和非A型业务板支持的ACL/QoS功能列表

单板类型

功能

A型业务板

非A型业务板

基本ACL

支持

支持

高级ACL

支持

支持

二层ACL

支持

支持

用户自定义ACL

不支持

支持

流分类

支持

支持

优先级重标记

支持

支持

端口限速

不支持

支持

流量监管

支持

支持

带宽保证

支持

不支持

双向CAR

支持

不支持

重定向

不支持

支持

队列调度

不支持

支持

拥塞避免

支持

不支持

流镜像

不支持

支持

流量统计

支持

支持

基于流的灵活QinQ

不支持

支持

 

&  说明:

l      A型业务板指如下业务板:LS81FT48A、LS81FM24A、LS81FS24A、LS81GB8UA、LS81GT8UA、LS81FT48、LS81FM24、LS81FS24、LS81GB8U、LS81GT8U。

l      A型业务板支持的QoS视图提示符为qoss,非A型业务板支持的QoS视图提示符为qosb。

 

1.2  ACL/QoS配置指南

&  说明:

下文只列出了基本的配置步骤,有关各个功能的基本原理和作用以及各个参数的解释,请参见产品的操作、命令手册。

 

表1-2 系统视图下的ACL/QoS配置

配置

命令

说明

进入系统视图

system-view

-

配置ACL

创建并进入相应的ACL视图

acl { number acl-number | name acl-name [ advanced | basic | link | user ] } [ match-order { config | auto } ]

缺省情况下,ACL规则的匹配顺序为config

对于不同类型的ACL,rule-string的内容不同,具体情况请参见产品的命令手册

定义ACL规则

rule [ rule-id ] { permit | deny } rule-string

退出至系统视图

quit

配置报文进入输出队列时信任的优先级

priority-trust { dscp | ip-precedence | cos | local-precedence }

缺省情况下,交换机根据本地优先级(local-precedence)将报文置入输出队列

配置802.1p优先级和本地优先级之间的映射关系

qos cos-local-precedence-map cos0-map-local-prec cos1-map-local-prec cos2-map-local-prec cos3-map-local-prec cos4-map-local-prec cos5-map-local-prec cos6-map-local-prec cos7-map-local-prec

缺省情况下,交换机提供的802.1p优先级和本地优先级之间的映射关系如表1-5所示

 

表1-3 A型业务板QoS视图下的ACL/QoS配置

配置

命令

说明

进入以太网端口视图

interface interface-type interface-number

-

进入QoS视图

qos

-

配置包过滤

packet-filter { inbound | outbound } acl-rule [ system-index ] [ not-care-for-interface ]

acl-rule的取值范围为2000~4999

配置带宽保证

traffic-bandwidth outbound acl-rule [ system-index ] min-guaranteed-bandwidth max-guaranteed-bandwidth weight

min-guaranteed-bandwidthmax-guaranteed-bandwidth的取值必须为64的倍数

配置流量监管

traffic-limit { inbound | outbound } acl-rule [ system-index ] target-rate

target-rate的取值必须为64的倍数

配置优先级重标记

traffic-priority { inbound | outbound } acl-rule [ system-index ] { { dscp dscp-value | ip-precedence pre-value } | local-precedence pre-value }*

用户可以重标记报文的DSCP优先级、IP优先级和本地优先级

配置拥塞避免

traffic-red outbound acl-rule [ system-index ] qstart qstop probability

qstartqstop的取值必须为16的倍数

配置流量统计

traffic-statistic { inbound | outbound } acl-rule [ system-index ]

-

 

表1-4 非A型业务板QoS视图下的ACL/QoS配置

配置

命令

说明

进入以太网端口视图

interface interface-type interface-number

-

进入QoS视图

qos

-

配置端口限速

line-rate [ kbps ] target-rate

如果选择kbps关键字,速率限制的粒度为64Kbps,当用户输入的值在N*64~(N+1)*64之间(N为自然数)时,交换机将自动修改此值为(N+1)*64 Kbps

配置流镜像

mirrored-to inbound acl-rule [ system-index ] { interface interface-type interface-number [ reflector ] | mirroring-group group-id }

-

配置包过滤

packet-filter inbound acl-rule [ system-index ]

acl-rule的取值范围为2000~5999

配置队列调度

queue-scheduler { rr | strict-priority | wrr queue1-weight queue2-weight queue3-weight queue4-weight queue5-weight queue6-weight queue7-weight queue8-weight }

缺省情况下,交换机采用严格优先级队列调度模式

配置流量监管

traffic-limit inbound acl-rule [ system-index ] [ kbps ] target-rate  [ exceed action ]

如果选择kbps关键字,速率限制的粒度为64Kbps,当用户输入的值在N*64~(N+1)*64之间(N为自然数)时,交换机将自动修改此值为(N+1)*64 Kbps

配置优先级重标记

traffic-priority inbound acl-rule [ system-index ] { { dscp dscp-value | ip-precedence pre-value } | { cos cos | local-precedence pre-value } }*

用户可以重标记报文的DSCP优先级、IP优先级、802.1p优先级和本地优先级

配置重定向

traffic-redirect inbound acl-rule [ system-index ] { cpu | interface interface-type interface-number }

配置重定向至端口时,源端口和目的端口必须位于同一业务板上

配置基于流的灵活QinQ

traffic-remark-vlanid inbound acl-rule [ system-index ] remark-vlan vlan-id

配置基于流的灵活QinQ时,需要预先在相应的端口视图下执行vlan-vpn enable命令

如果端口的Voice VLAN功能已经启动,则不允许执行vlan-vpn enable命令

A型业务板、LS82GT20和LS82GP20型业务板不支持基于流的灵活QinQ

配置流量统计

traffic-statistic inbound acl-rule [ system-index ]

-

 

相关说明:

l              S7500系列以太网交换机提供的802.1p优先级和本地优先级之间的缺省映射关系如下表所示。

表1-5 802.1p优先级和本地优先级之间的缺省映射关系

802.1p优先级(CoS)

本地优先级

0

2

1

0

2

1

3

3

4

4

5

5

6

6

7

7

 

l              acl-rule可以是多种ACL规则的组合。A型业务板的组合方式及相应参数说明如表1-6表1-8所示;非A型业务板的组合方式及相应参数说明如表1-7表1-8所示。

表1-6 A型业务板的组合应用ACL方式

组合方式

acl-rule的形式

单独应用一个IP型ACL(基本ACL或高级ACL)中的所有规则

ip-group { acl-number | acl-name }

单独应用一个IP型ACL(基本ACL或高级ACL)中的一条规则

ip-group { acl-number | acl-name } rule rule-id

单独应用一个二层ACL中的所有规则

link-group { acl-number | acl-name }

单独应用一个二层ACL中的一条规则

link-group { acl-number | acl-name } rule rule-id

 

表1-7 非A型业务板的组合应用ACL方式

组合方式

acl-rule的形式

单独应用一个IP型ACL(基本ACL或高级ACL)中的所有规则

ip-group { acl-number | acl-name }

单独应用一个IP型ACL(基本ACL或高级ACL)中的一条规则

ip-group { acl-number | acl-name } rule rule-id

单独应用一个二层ACL中的所有规则

link-group { acl-number | acl-name }

单独应用一个二层ACL中的一条规则

link-group { acl-number | acl-name } rule rule-id

单独应用一个用户自定义ACL中的所有规则

user-group { acl-number | acl-name }

单独应用一个用户自定义ACL中的一条规则

user-group { acl-number | acl-name } rule rule-id

同时应用IP型ACL中的一条规则和二层ACL中的一条规则

ip-group { acl-number | acl-name } rule rule-id link-group { acl-number | acl-name } rule rule-id

 

表1-8 ACL组合方式参数说明

参数

说明

ip-group { acl-number | acl-name }

表示基本或高级ACL

acl-number:ACL序号,取值范围为2000~3999

acl-name:ACL名字,最多32个字符,必须以英文字母(即[a-z,A-Z])开始,而且中间不能有空格和引号;不区分大小写

link-group { acl-number | acl-name }

表示二层ACL

acl-number:ACL序号,取值范围为4000~4999

acl-name:ACL名字,最多32个字符,必须以英文字母(即[a-z,A-Z])开始,而且中间不能有空格和引号;不区分大小写

user-group { acl-number | acl-name }

表示用户自定义ACL

acl-number:ACL序号,取值范围为5000~5999

acl-name:ACL名字,最多32个字符,必须以英文字母(即[a-z,A-Z])开始,而且中间不能有空格和引号;不区分大小写

rule-id

表示ACL规则编号,取值范围为0~127

如果不指定则表示ACL中的所有规则

 


第2章  QACL典型配置举例

&  说明:

本章所有配置均以非A型业务板为例。

 

表2-1 QACL配置任务简介

网络环境

配置任务

详细配置

企业网络

基于时间段的ACL和流量统计配置举例

2.1.1 

端口限速和流量监管配置举例

2.1.2 

重定向和流镜像配置举例

2.1.3 

优先级重标记和队列调度配置举例

2.1.4 

运营商网络

基于流的灵活QinQ配置举例

2.2.1 

 

2.1  企业网络环境简介

图2-2 企业网络环境拓扑图

图2-2为某公司的网络拓扑图,具体环境如下:

l              S7500交换机作为公司的中心交换机,软件版本为Release 3135,通过端口GigabitEthernet 2/0/10接入Internet;

l              研发部门属于VLAN 2,所在网段的IP地址为192.168.2.0/24,通过端口GigabitEthernet 2/0/1和GigabitEthernet 2/0/2接入交换机;

l              客服部门属于VLAN 3,所在网段的IP地址为192.168.3.0/24,通过端口GigabitEthernet 2/0/3接入交换机;

l              市场部门属于VLAN 4,所在网段的IP地址为192.168.4.0/24,通过端口GigabitEthernet 2/0/4、GigabitEthernet 2/0/5和GigabitEthernet 2/0/6接入交换机,其中Data detect server为数据监测设备;

l              管理部门属于VLAN 5,所在网段的IP地址为192.168.5.0/24,通过端口GigabitEthernet 2/0/7接入交换机。

2.1.1  基于时间段的ACL和流量统计配置举例

1. 组网需求

研发部门中,PC 1的IP地址为192.168.2.1,PC 2 的IP地址为192.168.2.2,两者的网关都设置为192.168.2.100(VLAN 2虚接口的IP地址),要求配置基于时间段的ACL和流量统计,满足如下需求:

l              通过配置高级ACL,对Internet上的病毒报文进行过滤;

l              通过配置用户自定义ACL,在每天8:00~18:00的时间段内,对PC 1发出的仿冒网关IP地址的ARP报文进行过滤;

l              通过配置流量统计,在每天8:00~18:00的时间段内,对PC 2发出的以HTTP方式访问Internet的报文进行统计。

2. 组网图

图2-3 配置基于时间段的ACL和流量统计组网图

3. 配置步骤

# 定义周期时间段trname,时间范围为每天的8:00~18:00。

<H3C> system-view

[H3C] time-range trname 8:00 to 18:00 daily

# 定义高级ACL 3000,对Internet上的病毒报文进行分类。用户也可以根据实际情况的需要来配置其他的规则列表。

[H3C] acl number 3000

[H3C-acl-adv-3000] rule 1 deny icmp

[H3C-acl-adv-3000] rule 2 deny udp destination-port eq 69

[H3C-acl-adv-3000] rule 3 deny tcp destination-port eq 4444

[H3C-acl-adv-3000] rule 4 deny tcp destination-port eq 135

[H3C-acl-adv-3000] rule 5 deny udp destination-port eq 135

[H3C-acl-adv-3000] rule 6 deny udp destination-port eq 137

[H3C-acl-adv-3000] rule 7 deny udp destination-port eq 138

[H3C-acl-adv-3000] rule 8 deny udp destination-port eq 139

[H3C-acl-adv-3000] rule 9 deny tcp destination-port eq 139

[H3C-acl-adv-3000] rule 10 deny tcp destination-port eq 445

[H3C-acl-adv-3000] rule 11 deny udp destination-port eq 445

[H3C-acl-adv-3000] rule 12 deny tcp destination-port eq 593

[H3C-acl-adv-3000] rule 13 deny udp destination-port eq 593

[H3C-acl-adv-3000] rule 14 deny tcp destination-port eq 5554

[H3C-acl-adv-3000] rule 15 deny tcp destination-port eq 9995

[H3C-acl-adv-3000] rule 16 deny tcp destination-port eq 9996

[H3C-acl-adv-3000] rule 17 deny udp destination-port eq 1434

[H3C-acl-adv-3000] quit

# 定义高级ACL 3001,对源IP地址为192.168.2.2的以HTTP方式访问Internet的报文进行分类。

[H3C] acl number 3001

[H3C-acl-adv-3001] rule 0 permit tcp source 192.168.2.2 0 destination-port eq 80

# 定义用户自定义ACL 5000,配置源IP地址为192.168.2.100的ARP报文的访问规则。其中0806为ARP协议号,16为交换机内部处理的以太网报文中协议类型字段的偏移量,c0a80264为192.168.2.100的十六进制形式,32为交换机内部处理的ARP报文中源IP地址字段的偏移量。

[H3C] acl number 5000

[H3C-acl-user-5000] rule 0 deny 0806 ffff 16 c0a80264 ffffffff 32 time-range trname

[H3C-acl-user-5000] quit

# 在端口GigabitEthernet 2/0/10上应用ACL 3000。

[H3C] interface GigabitEthernet 2/0/10

[H3C-GigabitEthernet2/0/10] qos

[H3C-qosb-GigabitEthernet2/0/10] packet-filter inbound ip-group 3000

[H3C-qosb-GigabitEthernet2/0/10] quit

[H3C-GigabitEthernet2/0/10] quit

# 在端口GigabitEthernet 2/0/1上应用ACL 5000。

[H3C] interface GigabitEthernet 2/0/1

[H3C-GigabitEthernet2/0/1] qos

[H3C-qosb-GigabitEthernet2/0/1] packet-filter inbound user-group 5000

[H3C-qosb-GigabitEthernet2/0/1] quit

[H3C-GigabitEthernet2/0/1] quit

# 在端口GigabitEthernet 2/0/2上配置流量统计。

[H3C] interface GigabitEthernet 2/0/2

[H3C-GigabitEthernet2/0/2] qos

[H3C-qosb-GigabitEthernet2/0/2] traffic-statistic inbound ip-group 3001

2.1.2  端口限速和流量监管配置举例

1. 组网需求

客服部门中,PC 3的IP地址为192.168.3.1。要求配置端口限速和流量监管,满足如下需求:

l              限制公司内所有部门访问Internet的流量为2Mbps,丢弃超出限制的流量;

l              限制客服部门中的PC 3向外发出的流量为640Kbps,丢弃超出限制的流量。

2. 组网图

图2-4 配置端口限速和流量监管组网图

3. 配置步骤

# 定义基本ACL 2000,对源IP地址为192.168.3.1的报文进行分类。

<H3C> system-view

[H3C] acl number 2000

[H3C-acl-basic-2000] rule permit source 192.168.3.1 0

[H3C-acl-basic-2000] quit

# 限制客服部门中PC 3向外发送的流量为640Kbps,丢弃超出限制的流量。

[H3C] interface GigabitEthernet 2/0/3

[H3C-GigabitEthernet2/0/3] qos

[H3C-qosb-GigabitEthernet2/0/3] traffic-limit inbound ip-group 2000 kbps 640

[H3C-qosb-GigabitEthernet2/0/3] quit

[H3C-GigabitEthernet2/0/3] quit

# 限制公司内所有部门访问Internet的流量为2Mbps,丢弃超出限制的流量。

[H3C] interface GigabitEthernet 2/0/10

[H3C-GigabitEthernet2/0/10] qos

[H3C-qosb-GigabitEthernet2/0/10] line-rate 2

2.1.3  重定向和流镜像配置举例

1. 组网需求

市场部门中,PC 4的IP地址为192.168.4.1,PC 5的IP地址为192.168.4.2,要求配置重定向和流镜像,满足如下需求:

l              在工作日内8:00~18:00的时间段,将PC 4以HTTP方式访问Internet的报文重定向到数据监测设备;

l              在工作日内8:00~18:00的时间段,将PC 5以HTTP方式访问Internet的报文镜像到数据监测设备。

2. 组网图

图2-5 配置重定向和流镜像组网图

3. 配置步骤

# 定义工作日时间段。

<H3C> system-view

[H3C] time-range tr1 8:00 to 18:00 working-day

# 定义高级ACL 3000,对PC 4和PC 5发出的以HTTP方式访问Internet的报文进行分类。

[H3C] acl number 3000

[H3C-acl-adv-3000] rule 0 permit tcp source 192.168.4.1 0 destination-port eq 80 time-range tr1

[H3C-acl-adv-3000] rule 1 permit tcp source 192.168.4.2 0 destination-port eq 80 time-range tr1

[H3C-acl-adv-3000] quit

# 配置针对PC 4的重定向。

[H3C] interface GigabitEthernet 2/0/4

[H3C-GigabitEthernet2/0/4] qos

[H3C-qosb-GigabitEthernet2/0/4] traffic-redirect inbound ip-group 3000 rule 0 interface GigabitEthernet 2/0/6

[H3C-qosb-GigabitEthernet2/0/4] quit

[H3C-GigabitEthernet2/0/4] quit

# 配置针对PC 5的流镜像。

[H3C] mirroring-group 1 local

[H3C] mirroring-group 1 monitor-port GigabitEthernet 2/0/6

[H3C] interface GigabitEthernet 2/0/5

[H3C-GigabitEthernet2/0/5] qos

[H3C-qosb-GigabitEthernet2/0/5] mirrored-to inbound ip-group 3000 rule 1 interface GigabitEthernet 2/0/6

2.1.4  优先级重标记和队列调度配置举例

1. 组网需求

管理部门中,PC 6的IP地址为192.168.5.1,PC 7的IP地址为192.168.5.2,PC 8的IP地址为192.168.5.3。由于业务需要,PC 6、PC 7和PC 8需要访问目的IP地址为129.110.1.2的站点。要求配置优先级重标记和队列调度,当PC 6、PC 7和PC 8访问129.110.1.2时,满足如下需求:

l              交换机优先处理PC 6发出的访问129.110.1.2的IP报文;

l              交换机其次处理PC 7发出的访问129.110.1.2的IP报文;

l              交换机最后处理PC 8发出的访问129.110.1.2的IP报文。

2. 组网图

图2-6 配置优先级重标记和队列调度组网图

3. 配置步骤

# 定义高级ACL 3000,根据不同的源IP地址对报文进行分类标识。

<H3C> system-view

[H3C] acl number 3000

[H3C-acl-adv-3000] rule 0 permit ip source 192.168.5.1 0 destination 129.110.1.2 0

[H3C-acl-adv-3000] rule 1 permit ip source 192.168.5.2 0 destination 129.110.1.2 0

[H3C-acl-adv-3000] rule 2 permit ip source 192.168.5.3 0 destination 129.110.1.2 0

[H3C-acl-adv-3000] quit

# 在端口GigabitEthernet 2/0/7上对匹配高级ACL 3000内规则的报文进行优先级重标记。

[H3C] interface GigabitEthernet 2/0/7

[H3C-GigabitEthernet2/0/7] qos

[H3C-qosb-GigabitEthernet2/0/7] traffic-priority inbound ip-group 3000 rule 0 local-precedence 5

[H3C-qosb-GigabitEthernet2/0/7] traffic-priority inbound ip-group 3000 rule 1 local-precedence 4

[H3C-qosb-GigabitEthernet2/0/7] traffic-priority inbound ip-group 3000 rule 2 local-precedence 3

[H3C-qosb-GigabitEthernet2/0/7] quit

[H3C-GigabitEthernet2/0/7] quit

# 在端口GigabitEthernet 2/0/10上配置队列调度算法为SP(需要注意的是,缺省情况下即为SP队列调度算法,用户无需配置)。

[H3C] interface GigabitEthernet 2/0/10

[H3C-GigabitEthernet2/0/10] qos

[H3C-qosb-GigabitEthernet2/0/10] queue-scheduler strict-priority

2.2  运营商网络环境简介

图2-7 运营商网络环境拓扑图

图2-7为运营商网络拓扑图,具体环境如下:

l              S7500交换机(Switch A、Switch B和Switch C)作为运营商网络边缘设备,与客户端/服务器端网络相连接;

l              运营商网络中允许VLAN 100VLAN 200的报文通过;

l              Switch B通过端口GigabitEthernet2/0/2与运营商网络连接,允许VLAN 100的报文通过;

l              Switch C通过端口GigabitEthernet2/0/2与运营商网络连接,允许VLAN 200的报文通过;

l              客户端网络中VLAN 10和VLAN 20通过端口GigabitEthernet2/0/1接入交换机,其中VLAN 20内包含若干MAC地址范围为1234-5678-9000/40的设备;

l              客户端网络中VLAN 10和VLAN 20发出的报文将带有各自VLAN的VLAN Tag到达端口GigabitEthernet2/0/1。

2.2.1  基于流的灵活QinQ配置举例

1. 组网需求

要求配置基于流的灵活QinQ,满足如下需求:

l              为VLAN 10发出的报文封装VLAN 100的外层Tag,使VLAN 10内的客户端可以通过运营商网络,访问Switch B连接的网络中VLAN 10内的服务器;

l              为VLAN 20发出的源MAC地址为1234-5678-9000/40的报封装VLAN 200的外层Tag,使VLAN 20内的这些客户端可以通过运营商网络,访问Switch C连接的网络中VLAN 20内的服务器;

l              为VLAN 20内其他客户端发出的报文封装VLAN 100的外层Tag,使VLAN 20内的这些客户端可以通过运营商网络,访问Switch B连接的网络中VLAN 20内的服务器。

2. 组网图

参见图2-7

3. 配置步骤

(1)        Switch A上的配置

# 定义二层ACL 4000,对源MAC地址为1234-5678-9000/40的报文进行分类。

<H3C> system-view

[H3C] acl number 4000

[H3C-acl-link-4000] rule permit ingress 1234-5678-9000 ffff-ffff-ff00

[H3C-acl-link-4000] quit

# 配置端口GigabitEthernet2/0/2为Hybrid端口,并且在转发VLAN 100和VLAN 200的报文时保留VLAN Tag。

[H3C] interface GigabitEthernet 2/0/2

[H3C-GigabitEthernet2/0/2] port link-type hybrid

[H3C-GigabitEthernet2/0/2] port hybrid vlan 100 200 tagged

[H3C-GigabitEthernet2/0/2] quit

# 配置端口GigabitEthernet2/0/1为Hybrid端口,缺省VLAN为VLAN 100,并且在转发VLAN 100和VLAN 200的报文时去除VLAN Tag。

[H3C] interface GigabitEthernet 2/0/1

[H3C-GigabitEthernet2/0/1] port link-type hybrid

[H3C-GigabitEthernet2/0/1] port hybrid pvid vlan 100

[H3C-GigabitEthernet2/0/1] port hybrid vlan 100 200 untagged

# 配置端口GigabitEthernet2/0/1支持QinQ功能。

[H3C-GigabitEthernet2/0/1] vlan-vpn enable

# 在端口GigabitEthernet2/0/1上配置基于流的灵活QinQ,为源MAC地址范围为1234-5678-9000/40的报文封装VLAN 200的外层VLAN Tag。

[H3C-GigabitEthernet2/0/1] qos

[H3C-qosb-GigabitEthernet2/0/1] traffic-remark-vlanid inbound link-group 4000 remark-vlan 200

(2)        Switch B上的配置

# 配置端口GigabitEthernet2/0/2为Hybrid端口,并且在转发VLAN 100的报文时保留VLAN Tag。

[H3C] interface GigabitEthernet 2/0/2

[H3C-GigabitEthernet2/0/2] port link-type hybrid

[H3C-GigabitEthernet2/0/2] port hybrid vlan 100 tagged

[H3C-GigabitEthernet2/0/2] quit

# 配置端口GigabitEthernet2/0/1为Hybrid端口,缺省VLAN为VLAN 100,并且在转发VLAN 100的报文时去除VLAN Tag。

<H3C> system-view

[H3C] interface GigabitEthernet 2/0/1

[H3C-GigabitEthernet2/0/1] port link-type hybrid

[H3C-GigabitEthernet2/0/1] port hybrid pvid vlan 100

[H3C-GigabitEthernet2/0/1] port hybrid vlan 100 untagged

# 配置端口GigabitEthernet2/0/1支持QinQ功能。

[H3C-GigabitEthernet2/0/1] vlan-vpn enable

(3)        Switch C上的配置

# 配置端口GigabitEthernet2/0/2为Hybrid端口,并且在转发VLAN 200的报文时保留VLAN Tag。

[H3C] interface GigabitEthernet 2/0/2

[H3C-GigabitEthernet2/0/2] port link-type hybrid

[H3C-GigabitEthernet2/0/2] port hybrid vlan 200 tagged

[H3C-GigabitEthernet2/0/2] quit

# 配置端口GigabitEthernet2/0/1为Hybrid端口,缺省VLAN为VLAN 200,并且在转发VLAN 200的报文时去除VLAN Tag。

<H3C> system-view

[H3C] interface GigabitEthernet 2/0/1

[H3C-GigabitEthernet2/0/1] port link-type hybrid

[H3C-GigabitEthernet2/0/1] port hybrid pvid vlan 200

[H3C-GigabitEthernet2/0/1] port hybrid vlan 200 untagged

# 配置端口GigabitEthernet2/0/1支持QinQ功能。

[H3C-GigabitEthernet2/0/1] vlan-vpn enable

2.3  配置注意事项

配置中请注意如下事项:

(1)        高级ACL中,3998与3999是系统为集群管理预留的编号,用户无法配置。

(2)        用户可以使用acl order命令来指定规则下发到硬件后的匹配顺序。S7500交换机支持三种匹配顺序:深度优先、先下发先生效、后下发先生效。

(3)        在A型业务板下发ACL规则到硬件时,需要注意如下限制:基本ACL不支持配置fragment参数;高级ACL不支持配置tosfragment参数。

(4)        在非A型业务板下发ACL规则到硬件时,需要注意如下限制:高级ACL配置TCP/UDP端口时不支持配置range参数。

(5)        在非A型业务板上通过用户自定义ACL匹配特定的报文时,常用协议类型号以及偏移量如下表所示。

表2-2 常用协议类型号以及偏移量

协议类型

协议号

端口没有开启QinQ功能时的偏移量

端口开启QinQ功能后的偏移量

ARP

0x0806

16

20

RARP

0x8035

16

20

IP

0x0800

16

20

IPX

0x8137

16

20

AppleTalk

0x809B

16

20

ICMP

0x01

27

31

IGMP

0x02

27

31

TCP

0x06

27

31

UDP

0x17

27

31

 

(6)        当用户配置流量监管(traffic-limit)、重定向(traffic-redirect)、流镜像(mirrored-to)、流量统计(traffic-statistic)、优先级重标记(traffic-priority)和基于流的灵活QinQ(traffic-remark-vlanid)时,ACL规则中定义的动作必须为permit

(7)        在非A型业务板上配置流量监管时,如果指定kbps参数,速率限制的粒度为64Kbps。即如果用户输入的数字在N*64~(N+1)*64之间(N为自然数),交换机将自动修改此值为(N+1)*64Kbps。

(8)        配置重定向至端口时,源端口和目的端口必须位于同一业务板上。

(9)        配置流镜像时需要注意,对于集中式单板,所有端口必须在同一单板上;对于分布式系统,所有端口必须在同一个分布式系统内。

(10)    S7500交换机上可以配置多个镜像源端口,但只能配置一个镜像目的端口。建议镜像目的端口只用于转发镜像流量,不要作为业务端口使用,否则可能会影响正常业务。

(11)    S7500交换机的非A型业务板支持配置轮询调度算法(rr)、严格优先级调度算法(strict-priority)和加权轮询调度算法(wrr)。在配置加权轮询调度算法时,用户也可以将权重设置为0,实现strict-priority+wrr调度算法。

(12)    当用户配置使用strict-priority+wrr调度算法时,交换机会优先调度使用严格优先级算法的队列。例如,队列0、1、2、3的权重为0,队列4、5、6、7使用wrr算法,系统首先按照严格优先级对队列0、1、2、3进行调度,当队列0、1、2、3中没有报文发送时,才按照wrr算法对队列4、5、6、7进行调度。

(13)    基于流的灵活QinQ通常配置在运营商网络与用户设备相连的边缘设备的Hybrid端口上。

2.4  引用ACL规则的其它功能

其它引用ACL规则的功能包括:

l              Telnet/SNMP/WEB登录用户控制,其中Telnet用户可引用ACL 2000~3999,SNMP/WEB用户可引用的ACL 2000~2999;

l              路由策略匹配规则中引用ACL,可以引用ACL 2000~3999;

l              路由信息过滤中引用ACL,可以引用ACL 2000~3999;

l              显示匹配ACL规则的路由表项,可以引用ACL 2000~2999;

l              显示匹配ACL规则的FIB表项,可以引用ACL 2000~2999;

l              TFTP服务器引用ACL规则,可以引用ACL 2000~2999。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们