02-QACL典型配置案例
本章节下载 (268.2 KB)
目 录
QACL典型配置举例
关键词:ACL,QoS
摘 要:本文主要介绍以太网交换机的QACL功能在具体组网中的应用配置,根据用户不同的需求,分别介绍基于时间段的ACL、流量限速、流量监管、重定向、流镜像、流量统计、优先级重标记、队列调度、以及基于流的灵活QinQ功能及应用。
缩略语:ACL(Access Control List,访问控制列表)、QoS(Quality of Service,服务质量)
S7500系列以太网交换机的业务板分为A型业务板和非A型业务板两种类型,不同类型的业务板支持的ACL/QoS功能如下表所示。
表1-1 A型业务板和非A型业务板支持的ACL/QoS功能列表
单板类型 功能 |
A型业务板 |
非A型业务板 |
基本ACL |
支持 |
支持 |
高级ACL |
支持 |
支持 |
二层ACL |
支持 |
支持 |
用户自定义ACL |
不支持 |
支持 |
流分类 |
支持 |
支持 |
优先级重标记 |
支持 |
支持 |
端口限速 |
不支持 |
支持 |
流量监管 |
支持 |
支持 |
带宽保证 |
支持 |
不支持 |
双向CAR |
支持 |
不支持 |
重定向 |
不支持 |
支持 |
队列调度 |
不支持 |
支持 |
拥塞避免 |
支持 |
不支持 |
流镜像 |
不支持 |
支持 |
流量统计 |
支持 |
支持 |
基于流的灵活QinQ |
不支持 |
支持 |
& 说明:
l A型业务板指如下业务板:LS81FT48A、LS81FM24A、LS81FS24A、LS81GB8UA、LS81GT8UA、LS81FT48、LS81FM24、LS81FS24、LS81GB8U、LS81GT8U。
l A型业务板支持的QoS视图提示符为qoss,非A型业务板支持的QoS视图提示符为qosb。
& 说明:
下文只列出了基本的配置步骤,有关各个功能的基本原理和作用以及各个参数的解释,请参见产品的操作、命令手册。
表1-2 系统视图下的ACL/QoS配置
配置 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置ACL |
创建并进入相应的ACL视图 |
acl { number acl-number | name acl-name [ advanced | basic | link | user ] } [ match-order { config | auto } ] |
缺省情况下,ACL规则的匹配顺序为config 对于不同类型的ACL,rule-string的内容不同,具体情况请参见产品的命令手册 |
定义ACL规则 |
rule [ rule-id ] { permit | deny } rule-string |
||
退出至系统视图 |
quit |
||
priority-trust { dscp | ip-precedence | cos | local-precedence } |
缺省情况下,交换机根据本地优先级(local-precedence)将报文置入输出队列 |
||
配置802.1p优先级和本地优先级之间的映射关系 |
qos cos-local-precedence-map cos0-map-local-prec cos1-map-local-prec cos2-map-local-prec cos3-map-local-prec cos4-map-local-prec cos5-map-local-prec cos6-map-local-prec cos7-map-local-prec |
表1-3 A型业务板QoS视图下的ACL/QoS配置
配置 |
命令 |
说明 |
进入以太网端口视图 |
interface interface-type interface-number |
- |
进入QoS视图 |
qos |
- |
配置包过滤 |
packet-filter { inbound | outbound } acl-rule [ system-index ] [ not-care-for-interface ] |
acl-rule的取值范围为2000~4999 |
配置带宽保证 |
traffic-bandwidth outbound acl-rule [ system-index ] min-guaranteed-bandwidth max-guaranteed-bandwidth weight |
min-guaranteed-bandwidth和max-guaranteed-bandwidth的取值必须为64的倍数 |
配置流量监管 |
traffic-limit { inbound | outbound } acl-rule [ system-index ] target-rate |
target-rate的取值必须为64的倍数 |
配置优先级重标记 |
traffic-priority { inbound | outbound } acl-rule [ system-index ] { { dscp dscp-value | ip-precedence pre-value } | local-precedence pre-value }* |
用户可以重标记报文的DSCP优先级、IP优先级和本地优先级 |
配置拥塞避免 |
traffic-red outbound acl-rule [ system-index ] qstart qstop probability |
qstart和qstop的取值必须为16的倍数 |
配置流量统计 |
traffic-statistic { inbound | outbound } acl-rule [ system-index ] |
- |
表1-4 非A型业务板QoS视图下的ACL/QoS配置
配置 |
命令 |
说明 |
进入以太网端口视图 |
interface interface-type interface-number |
- |
进入QoS视图 |
qos |
- |
配置端口限速 |
line-rate [ kbps ] target-rate |
如果选择kbps关键字,速率限制的粒度为64Kbps,当用户输入的值在N*64~(N+1)*64之间(N为自然数)时,交换机将自动修改此值为(N+1)*64 Kbps |
配置流镜像 |
mirrored-to inbound acl-rule [ system-index ] { interface interface-type interface-number [ reflector ] | mirroring-group group-id } |
- |
配置包过滤 |
packet-filter inbound acl-rule [ system-index ] |
acl-rule的取值范围为2000~5999 |
配置队列调度 |
queue-scheduler { rr | strict-priority | wrr queue1-weight queue2-weight queue3-weight queue4-weight queue5-weight queue6-weight queue7-weight queue8-weight } |
缺省情况下,交换机采用严格优先级队列调度模式 |
配置流量监管 |
traffic-limit inbound acl-rule [ system-index ] [ kbps ] target-rate [ exceed action ] |
如果选择kbps关键字,速率限制的粒度为64Kbps,当用户输入的值在N*64~(N+1)*64之间(N为自然数)时,交换机将自动修改此值为(N+1)*64 Kbps |
配置优先级重标记 |
traffic-priority inbound acl-rule [ system-index ] { { dscp dscp-value | ip-precedence pre-value } | { cos cos | local-precedence pre-value } }* |
用户可以重标记报文的DSCP优先级、IP优先级、802.1p优先级和本地优先级 |
配置重定向 |
traffic-redirect inbound acl-rule [ system-index ] { cpu | interface interface-type interface-number } |
配置重定向至端口时,源端口和目的端口必须位于同一业务板上 |
配置基于流的灵活QinQ |
traffic-remark-vlanid inbound acl-rule [ system-index ] remark-vlan vlan-id |
配置基于流的灵活QinQ时,需要预先在相应的端口视图下执行vlan-vpn enable命令 如果端口的Voice VLAN功能已经启动,则不允许执行vlan-vpn enable命令 A型业务板、LS82GT20和LS82GP20型业务板不支持基于流的灵活QinQ |
配置流量统计 |
traffic-statistic inbound acl-rule [ system-index ] |
- |
相关说明:
l S7500系列以太网交换机提供的802.1p优先级和本地优先级之间的缺省映射关系如下表所示。
表1-5 802.1p优先级和本地优先级之间的缺省映射关系
802.1p优先级(CoS) |
本地优先级 |
0 |
2 |
1 |
0 |
2 |
1 |
3 |
3 |
4 |
4 |
5 |
5 |
6 |
6 |
7 |
7 |
l acl-rule可以是多种ACL规则的组合。A型业务板的组合方式及相应参数说明如表1-6与表1-8所示;非A型业务板的组合方式及相应参数说明如表1-7与表1-8所示。
表1-6 A型业务板的组合应用ACL方式
组合方式 |
acl-rule的形式 |
单独应用一个IP型ACL(基本ACL或高级ACL)中的所有规则 |
ip-group { acl-number | acl-name } |
单独应用一个IP型ACL(基本ACL或高级ACL)中的一条规则 |
ip-group { acl-number | acl-name } rule rule-id |
单独应用一个二层ACL中的所有规则 |
link-group { acl-number | acl-name } |
单独应用一个二层ACL中的一条规则 |
link-group { acl-number | acl-name } rule rule-id |
表1-7 非A型业务板的组合应用ACL方式
组合方式 |
acl-rule的形式 |
单独应用一个IP型ACL(基本ACL或高级ACL)中的所有规则 |
ip-group { acl-number | acl-name } |
单独应用一个IP型ACL(基本ACL或高级ACL)中的一条规则 |
ip-group { acl-number | acl-name } rule rule-id |
单独应用一个二层ACL中的所有规则 |
link-group { acl-number | acl-name } |
单独应用一个二层ACL中的一条规则 |
link-group { acl-number | acl-name } rule rule-id |
单独应用一个用户自定义ACL中的所有规则 |
user-group { acl-number | acl-name } |
单独应用一个用户自定义ACL中的一条规则 |
user-group { acl-number | acl-name } rule rule-id |
同时应用IP型ACL中的一条规则和二层ACL中的一条规则 |
ip-group { acl-number | acl-name } rule rule-id link-group { acl-number | acl-name } rule rule-id |
表1-8 ACL组合方式参数说明
参数 |
说明 |
ip-group { acl-number | acl-name } |
表示基本或高级ACL acl-number:ACL序号,取值范围为2000~3999 acl-name:ACL名字,最多32个字符,必须以英文字母(即[a-z,A-Z])开始,而且中间不能有空格和引号;不区分大小写 |
link-group { acl-number | acl-name } |
表示二层ACL acl-number:ACL序号,取值范围为4000~4999 acl-name:ACL名字,最多32个字符,必须以英文字母(即[a-z,A-Z])开始,而且中间不能有空格和引号;不区分大小写 |
user-group { acl-number | acl-name } |
表示用户自定义ACL acl-number:ACL序号,取值范围为5000~5999 acl-name:ACL名字,最多32个字符,必须以英文字母(即[a-z,A-Z])开始,而且中间不能有空格和引号;不区分大小写 |
rule-id |
表示ACL规则编号,取值范围为0~127 如果不指定则表示ACL中的所有规则 |
& 说明:
本章所有配置均以非A型业务板为例。
表2-1 QACL配置任务简介
网络环境 |
配置任务 |
详细配置 |
企业网络 |
基于时间段的ACL和流量统计配置举例 |
|
端口限速和流量监管配置举例 |
||
重定向和流镜像配置举例 |
||
优先级重标记和队列调度配置举例 |
||
运营商网络 |
基于流的灵活QinQ配置举例 |
图2-2为某公司的网络拓扑图,具体环境如下:
l S7500交换机作为公司的中心交换机,软件版本为Release 3135,通过端口GigabitEthernet 2/0/10接入Internet;
l 研发部门属于VLAN 2,所在网段的IP地址为192.168.2.0/24,通过端口GigabitEthernet 2/0/1和GigabitEthernet 2/0/2接入交换机;
l 客服部门属于VLAN 3,所在网段的IP地址为192.168.3.0/24,通过端口GigabitEthernet 2/0/3接入交换机;
l 市场部门属于VLAN 4,所在网段的IP地址为192.168.4.0/24,通过端口GigabitEthernet 2/0/4、GigabitEthernet 2/0/5和GigabitEthernet 2/0/6接入交换机,其中Data detect server为数据监测设备;
l 管理部门属于VLAN 5,所在网段的IP地址为192.168.5.0/24,通过端口GigabitEthernet 2/0/7接入交换机。
研发部门中,PC 1的IP地址为192.168.2.1,PC 2 的IP地址为192.168.2.2,两者的网关都设置为192.168.2.100(VLAN 2虚接口的IP地址),要求配置基于时间段的ACL和流量统计,满足如下需求:
l 通过配置高级ACL,对Internet上的病毒报文进行过滤;
l 通过配置用户自定义ACL,在每天8:00~18:00的时间段内,对PC 1发出的仿冒网关IP地址的ARP报文进行过滤;
l 通过配置流量统计,在每天8:00~18:00的时间段内,对PC 2发出的以HTTP方式访问Internet的报文进行统计。
图2-3 配置基于时间段的ACL和流量统计组网图
# 定义周期时间段trname,时间范围为每天的8:00~18:00。
<H3C> system-view
[H3C] time-range trname 8:00 to 18:00 daily
# 定义高级ACL 3000,对Internet上的病毒报文进行分类。用户也可以根据实际情况的需要来配置其他的规则列表。
[H3C] acl number 3000
[H3C-acl-adv-3000] rule 1 deny icmp
[H3C-acl-adv-3000] rule 2 deny udp destination-port eq 69
[H3C-acl-adv-3000] rule 3 deny tcp destination-port eq 4444
[H3C-acl-adv-3000] rule 4 deny tcp destination-port eq 135
[H3C-acl-adv-3000] rule 5 deny udp destination-port eq 135
[H3C-acl-adv-3000] rule 6 deny udp destination-port eq 137
[H3C-acl-adv-3000] rule 7 deny udp destination-port eq 138
[H3C-acl-adv-3000] rule 8 deny udp destination-port eq 139
[H3C-acl-adv-3000] rule 9 deny tcp destination-port eq 139
[H3C-acl-adv-3000] rule 10 deny tcp destination-port eq 445
[H3C-acl-adv-3000] rule 11 deny udp destination-port eq 445
[H3C-acl-adv-3000] rule 12 deny tcp destination-port eq 593
[H3C-acl-adv-3000] rule 13 deny udp destination-port eq 593
[H3C-acl-adv-3000] rule 14 deny tcp destination-port eq 5554
[H3C-acl-adv-3000] rule 15 deny tcp destination-port eq 9995
[H3C-acl-adv-3000] rule 16 deny tcp destination-port eq 9996
[H3C-acl-adv-3000] rule 17 deny udp destination-port eq 1434
[H3C-acl-adv-3000] quit
# 定义高级ACL 3001,对源IP地址为192.168.2.2的以HTTP方式访问Internet的报文进行分类。
[H3C] acl number 3001
[H3C-acl-adv-3001] rule 0 permit tcp source 192.168.2.2 0 destination-port eq 80
# 定义用户自定义ACL 5000,配置源IP地址为192.168.2.100的ARP报文的访问规则。其中0806为ARP协议号,16为交换机内部处理的以太网报文中协议类型字段的偏移量,c0a80264为192.168.2.100的十六进制形式,32为交换机内部处理的ARP报文中源IP地址字段的偏移量。
[H3C] acl number 5000
[H3C-acl-user-5000] rule 0 deny 0806 ffff 16 c0a80264 ffffffff 32 time-range trname
[H3C-acl-user-5000] quit
# 在端口GigabitEthernet 2/0/10上应用ACL 3000。
[H3C] interface GigabitEthernet 2/0/10
[H3C-GigabitEthernet2/0/10] qos
[H3C-qosb-GigabitEthernet2/0/10] packet-filter inbound ip-group 3000
[H3C-qosb-GigabitEthernet2/0/10] quit
[H3C-GigabitEthernet2/0/10] quit
# 在端口GigabitEthernet 2/0/1上应用ACL 5000。
[H3C] interface GigabitEthernet 2/0/1
[H3C-GigabitEthernet2/0/1] qos
[H3C-qosb-GigabitEthernet2/0/1] packet-filter inbound user-group 5000
[H3C-qosb-GigabitEthernet2/0/1] quit
[H3C-GigabitEthernet2/0/1] quit
# 在端口GigabitEthernet 2/0/2上配置流量统计。
[H3C] interface GigabitEthernet 2/0/2
[H3C-GigabitEthernet2/0/2] qos
[H3C-qosb-GigabitEthernet2/0/2] traffic-statistic inbound ip-group 3001
客服部门中,PC 3的IP地址为192.168.3.1。要求配置端口限速和流量监管,满足如下需求:
l 限制公司内所有部门访问Internet的流量为2Mbps,丢弃超出限制的流量;
l 限制客服部门中的PC 3向外发出的流量为640Kbps,丢弃超出限制的流量。
图2-4 配置端口限速和流量监管组网图
# 定义基本ACL 2000,对源IP地址为192.168.3.1的报文进行分类。
<H3C> system-view
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 192.168.3.1 0
[H3C-acl-basic-2000] quit
# 限制客服部门中PC 3向外发送的流量为640Kbps,丢弃超出限制的流量。
[H3C] interface GigabitEthernet 2/0/3
[H3C-GigabitEthernet2/0/3] qos
[H3C-qosb-GigabitEthernet2/0/3] traffic-limit inbound ip-group 2000 kbps 640
[H3C-qosb-GigabitEthernet2/0/3] quit
[H3C-GigabitEthernet2/0/3] quit
# 限制公司内所有部门访问Internet的流量为2Mbps,丢弃超出限制的流量。
[H3C] interface GigabitEthernet 2/0/10
[H3C-GigabitEthernet2/0/10] qos
[H3C-qosb-GigabitEthernet2/0/10] line-rate 2
市场部门中,PC 4的IP地址为192.168.4.1,PC 5的IP地址为192.168.4.2,要求配置重定向和流镜像,满足如下需求:
l 在工作日内8:00~18:00的时间段,将PC 4以HTTP方式访问Internet的报文重定向到数据监测设备;
l 在工作日内8:00~18:00的时间段,将PC 5以HTTP方式访问Internet的报文镜像到数据监测设备。
图2-5 配置重定向和流镜像组网图
# 定义工作日时间段。
<H3C> system-view
[H3C] time-range tr1 8:00 to 18:00 working-day
# 定义高级ACL 3000,对PC 4和PC 5发出的以HTTP方式访问Internet的报文进行分类。
[H3C] acl number 3000
[H3C-acl-adv-3000] rule 0 permit tcp source 192.168.4.1 0 destination-port eq 80 time-range tr1
[H3C-acl-adv-3000] rule 1 permit tcp source 192.168.4.2 0 destination-port eq 80 time-range tr1
[H3C-acl-adv-3000] quit
# 配置针对PC 4的重定向。
[H3C] interface GigabitEthernet 2/0/4
[H3C-GigabitEthernet2/0/4] qos
[H3C-qosb-GigabitEthernet2/0/4] traffic-redirect inbound ip-group 3000 rule 0 interface GigabitEthernet 2/0/6
[H3C-qosb-GigabitEthernet2/0/4] quit
[H3C-GigabitEthernet2/0/4] quit
# 配置针对PC 5的流镜像。
[H3C] mirroring-group 1 monitor-port GigabitEthernet 2/0/6
[H3C] interface GigabitEthernet 2/0/5
[H3C-GigabitEthernet2/0/5] qos
[H3C-qosb-GigabitEthernet2/0/5] mirrored-to inbound ip-group 3000 rule 1 interface GigabitEthernet 2/0/6
管理部门中,PC 6的IP地址为192.168.5.1,PC 7的IP地址为192.168.5.2,PC 8的IP地址为192.168.5.3。由于业务需要,PC 6、PC 7和PC 8需要访问目的IP地址为129.110.1.2的站点。要求配置优先级重标记和队列调度,当PC 6、PC 7和PC 8访问129.110.1.2时,满足如下需求:
l 交换机优先处理PC 6发出的访问129.110.1.2的IP报文;
l 交换机其次处理PC 7发出的访问129.110.1.2的IP报文;
l 交换机最后处理PC 8发出的访问129.110.1.2的IP报文。
图2-6 配置优先级重标记和队列调度组网图
# 定义高级ACL 3000,根据不同的源IP地址对报文进行分类标识。
<H3C> system-view
[H3C] acl number 3000
[H3C-acl-adv-3000] rule 0 permit ip source 192.168.5.1 0 destination 129.110.1.2 0
[H3C-acl-adv-3000] rule 1 permit ip source 192.168.5.2 0 destination 129.110.1.2 0
[H3C-acl-adv-3000] rule 2 permit ip source 192.168.5.3 0 destination 129.110.1.2 0
[H3C-acl-adv-3000] quit
# 在端口GigabitEthernet 2/0/7上对匹配高级ACL 3000内规则的报文进行优先级重标记。
[H3C] interface GigabitEthernet 2/0/7
[H3C-GigabitEthernet2/0/7] qos
[H3C-qosb-GigabitEthernet2/0/7] traffic-priority inbound ip-group 3000 rule 0 local-precedence 5
[H3C-qosb-GigabitEthernet2/0/7] traffic-priority inbound ip-group 3000 rule 1 local-precedence 4
[H3C-qosb-GigabitEthernet2/0/7] traffic-priority inbound ip-group 3000 rule 2 local-precedence 3
[H3C-qosb-GigabitEthernet2/0/7] quit
[H3C-GigabitEthernet2/0/7] quit
# 在端口GigabitEthernet 2/0/10上配置队列调度算法为SP(需要注意的是,缺省情况下即为SP队列调度算法,用户无需配置)。
[H3C] interface GigabitEthernet 2/0/10
[H3C-GigabitEthernet2/0/10] qos
[H3C-qosb-GigabitEthernet2/0/10] queue-scheduler strict-priority
图2-7为运营商网络拓扑图,具体环境如下:
l S7500交换机(Switch A、Switch B和Switch C)作为运营商网络边缘设备,与客户端/服务器端网络相连接;
l 运营商网络中允许VLAN 100和VLAN 200的报文通过;
l Switch B通过端口GigabitEthernet2/0/2与运营商网络连接,允许VLAN 100的报文通过;
l Switch C通过端口GigabitEthernet2/0/2与运营商网络连接,允许VLAN 200的报文通过;
l 客户端网络中VLAN 10和VLAN 20通过端口GigabitEthernet2/0/1接入交换机,其中VLAN 20内包含若干MAC地址范围为1234-5678-9000/40的设备;
l 客户端网络中VLAN 10和VLAN 20发出的报文将带有各自VLAN的VLAN Tag到达端口GigabitEthernet2/0/1。
要求配置基于流的灵活QinQ,满足如下需求:
l 为VLAN 10发出的报文封装VLAN 100的外层Tag,使VLAN 10内的客户端可以通过运营商网络,访问Switch B连接的网络中VLAN 10内的服务器;
l 为VLAN 20发出的源MAC地址为1234-5678-9000/40的报封装VLAN 200的外层Tag,使VLAN 20内的这些客户端可以通过运营商网络,访问Switch C连接的网络中VLAN 20内的服务器;
l 为VLAN 20内其他客户端发出的报文封装VLAN 100的外层Tag,使VLAN 20内的这些客户端可以通过运营商网络,访问Switch B连接的网络中VLAN 20内的服务器。
参见图2-7。
(1) Switch A上的配置
# 定义二层ACL 4000,对源MAC地址为1234-5678-9000/40的报文进行分类。
<H3C> system-view
[H3C] acl number 4000
[H3C-acl-link-4000] rule permit ingress 1234-5678-9000 ffff-ffff-ff00
[H3C-acl-link-4000] quit
# 配置端口GigabitEthernet2/0/2为Hybrid端口,并且在转发VLAN 100和VLAN 200的报文时保留VLAN Tag。
[H3C] interface GigabitEthernet 2/0/2
[H3C-GigabitEthernet2/0/2] port link-type hybrid
[H3C-GigabitEthernet2/0/2] port hybrid vlan 100 200 tagged
[H3C-GigabitEthernet2/0/2] quit
# 配置端口GigabitEthernet2/0/1为Hybrid端口,缺省VLAN为VLAN 100,并且在转发VLAN 100和VLAN 200的报文时去除VLAN Tag。
[H3C] interface GigabitEthernet 2/0/1
[H3C-GigabitEthernet2/0/1] port link-type hybrid
[H3C-GigabitEthernet2/0/1] port hybrid pvid vlan 100
[H3C-GigabitEthernet2/0/1] port hybrid vlan 100 200 untagged
# 配置端口GigabitEthernet2/0/1支持QinQ功能。
[H3C-GigabitEthernet2/0/1] vlan-vpn enable
# 在端口GigabitEthernet2/0/1上配置基于流的灵活QinQ,为源MAC地址范围为1234-5678-9000/40的报文封装VLAN 200的外层VLAN Tag。
[H3C-GigabitEthernet2/0/1] qos
[H3C-qosb-GigabitEthernet2/0/1] traffic-remark-vlanid inbound link-group 4000 remark-vlan 200
(2) Switch B上的配置
# 配置端口GigabitEthernet2/0/2为Hybrid端口,并且在转发VLAN 100的报文时保留VLAN Tag。
[H3C] interface GigabitEthernet 2/0/2
[H3C-GigabitEthernet2/0/2] port link-type hybrid
[H3C-GigabitEthernet2/0/2] port hybrid vlan 100 tagged
[H3C-GigabitEthernet2/0/2] quit
# 配置端口GigabitEthernet2/0/1为Hybrid端口,缺省VLAN为VLAN 100,并且在转发VLAN 100的报文时去除VLAN Tag。
<H3C> system-view
[H3C] interface GigabitEthernet 2/0/1
[H3C-GigabitEthernet2/0/1] port link-type hybrid
[H3C-GigabitEthernet2/0/1] port hybrid pvid vlan 100
[H3C-GigabitEthernet2/0/1] port hybrid vlan 100 untagged
# 配置端口GigabitEthernet2/0/1支持QinQ功能。
[H3C-GigabitEthernet2/0/1] vlan-vpn enable
(3) Switch C上的配置
# 配置端口GigabitEthernet2/0/2为Hybrid端口,并且在转发VLAN 200的报文时保留VLAN Tag。
[H3C] interface GigabitEthernet 2/0/2
[H3C-GigabitEthernet2/0/2] port link-type hybrid
[H3C-GigabitEthernet2/0/2] port hybrid vlan 200 tagged
[H3C-GigabitEthernet2/0/2] quit
# 配置端口GigabitEthernet2/0/1为Hybrid端口,缺省VLAN为VLAN 200,并且在转发VLAN 200的报文时去除VLAN Tag。
<H3C> system-view
[H3C] interface GigabitEthernet 2/0/1
[H3C-GigabitEthernet2/0/1] port link-type hybrid
[H3C-GigabitEthernet2/0/1] port hybrid pvid vlan 200
[H3C-GigabitEthernet2/0/1] port hybrid vlan 200 untagged
# 配置端口GigabitEthernet2/0/1支持QinQ功能。
[H3C-GigabitEthernet2/0/1] vlan-vpn enable
配置中请注意如下事项:
(1) 高级ACL中,3998与3999是系统为集群管理预留的编号,用户无法配置。
(2) 用户可以使用acl order命令来指定规则下发到硬件后的匹配顺序。S7500交换机支持三种匹配顺序:深度优先、先下发先生效、后下发先生效。
(3) 在A型业务板下发ACL规则到硬件时,需要注意如下限制:基本ACL不支持配置fragment参数;高级ACL不支持配置tos、fragment参数。
(4) 在非A型业务板下发ACL规则到硬件时,需要注意如下限制:高级ACL配置TCP/UDP端口时不支持配置range参数。
(5) 在非A型业务板上通过用户自定义ACL匹配特定的报文时,常用协议类型号以及偏移量如下表所示。
表2-2 常用协议类型号以及偏移量
协议类型 |
协议号 |
端口没有开启QinQ功能时的偏移量 |
端口开启QinQ功能后的偏移量 |
ARP |
0x0806 |
16 |
20 |
RARP |
0x8035 |
16 |
20 |
IP |
0x0800 |
16 |
20 |
IPX |
0x8137 |
16 |
20 |
AppleTalk |
0x809B |
16 |
20 |
ICMP |
0x01 |
27 |
31 |
IGMP |
0x02 |
27 |
31 |
TCP |
0x06 |
27 |
31 |
UDP |
0x17 |
27 |
31 |
(6) 当用户配置流量监管(traffic-limit)、重定向(traffic-redirect)、流镜像(mirrored-to)、流量统计(traffic-statistic)、优先级重标记(traffic-priority)和基于流的灵活QinQ(traffic-remark-vlanid)时,ACL规则中定义的动作必须为permit。
(7) 在非A型业务板上配置流量监管时,如果指定kbps参数,速率限制的粒度为64Kbps。即如果用户输入的数字在N*64~(N+1)*64之间(N为自然数),交换机将自动修改此值为(N+1)*64Kbps。
(8) 配置重定向至端口时,源端口和目的端口必须位于同一业务板上。
(9) 配置流镜像时需要注意,对于集中式单板,所有端口必须在同一单板上;对于分布式系统,所有端口必须在同一个分布式系统内。
(10) S7500交换机上可以配置多个镜像源端口,但只能配置一个镜像目的端口。建议镜像目的端口只用于转发镜像流量,不要作为业务端口使用,否则可能会影响正常业务。
(11) S7500交换机的非A型业务板支持配置轮询调度算法(rr)、严格优先级调度算法(strict-priority)和加权轮询调度算法(wrr)。在配置加权轮询调度算法时,用户也可以将权重设置为0,实现strict-priority+wrr调度算法。
(12) 当用户配置使用strict-priority+wrr调度算法时,交换机会优先调度使用严格优先级算法的队列。例如,队列0、1、2、3的权重为0,队列4、5、6、7使用wrr算法,系统首先按照严格优先级对队列0、1、2、3进行调度,当队列0、1、2、3中没有报文发送时,才按照wrr算法对队列4、5、6、7进行调度。
(13) 基于流的灵活QinQ通常配置在运营商网络与用户设备相连的边缘设备的Hybrid端口上。
其它引用ACL规则的功能包括:
l Telnet/SNMP/WEB登录用户控制,其中Telnet用户可引用ACL 2000~3999,SNMP/WEB用户可引用的ACL 2000~2999;
l 路由策略匹配规则中引用ACL,可以引用ACL 2000~3999;
l 路由信息过滤中引用ACL,可以引用ACL 2000~3999;
l 显示匹配ACL规则的路由表项,可以引用ACL 2000~2999;
l 显示匹配ACL规则的FIB表项,可以引用ACL 2000~2999;
l TFTP服务器引用ACL规则,可以引用ACL 2000~2999。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!