- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
08-QoS
本章节下载: 08-QoS (879.89 KB)
目 录
· 本文将用于IPv4和IPv6的ACL分别简称为IPv4 ACL和IPv6 ACL。若非特别指明,本文所指的ACL均包括IPv4 ACL和IPv6 ACL。
· WEB界面上所有灰化的选项均不支持配置,本文中不再对此类选项进行解释。
ACL(Access Control List,访问控制列表)是用来实现流识别功能的。网络设备为了过滤报文,需要配置一系列的匹配条件对报文进行分类,这些条件可以是报文的源地址、目的地址、端口号等。
当设备的端口接收到报文后,即根据当前端口上应用的ACL规则对报文的字段进行分析,在识别出特定的报文之后,根据预先设定的策略允许或禁止该报文通过。
由ACL定义的报文匹配规则可以应用在诸多领域,如安全、QoS等,有关ACL在这些领域的具体应用,请参见相关的配置手册。
根据功能以及规则制定依据的不同,可以将ACL分为三种类型,如下表所示。
表1-1 ACL的分类
|
ACL类型 |
编号范围 |
适用的IP版本 |
区分报文的依据 |
|
基本ACL |
2000~2999 |
IPv4 |
只根据报文的源IP地址信息制定匹配规则 |
|
IPv6 |
只根据报文的源IPv6地址信息制定匹配规则 |
||
|
高级ACL |
3000~3999 |
IPv4 |
根据报文的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议的特性等三、四层信息制定匹配规则 |
|
IPv6 |
根据报文的源IPv6地址信息、目的IPv6地址信息、IPv6承载的协议类型、协议的特性等三、四层信息制定匹配规则 |
||
|
链路层ACL |
4000~4999 |
IPv4&IPv6 |
根据报文的源MAC地址、目的MAC地址、802.1p优先级、链路层协议类型等二层信息制定匹配规则 |
一个ACL由一条或多条描述报文匹配选项的判断语句组成,这样的判断语句就称为“规则”。由于每条规则中的报文匹配选项不同,从而使这些规则之间可能存在重复甚至矛盾的地方,因此在将一个报文与ACL的各条规则进行匹配时,就需要有明确的匹配顺序来确定规则执行的优先级。ACL的规则匹配顺序有以下两种:
· 配置顺序:按照用户配置规则的先后顺序进行匹配,但由于本质上系统是按照规则编号由小到大进行匹配,因此后插入的规则如果编号较小也有可能先被匹配。
· 自动排序:按照“深度优先”原则由深到浅进行匹配,不同类型ACL的“深度优先”排序法则如下表所示。
当报文与各条规则进行匹配时,一旦匹配上某条规则,就不会再继续匹配下去,系统将依据该规则对该报文执行相应的操作。
表1-2 各类型ACL的“深度优先”排序法则
|
ACL类型 |
“深度优先”排序法则 |
|
IPv4基本ACL |
1. 先比较规则中的源IPv4地址范围,较小者优先 2. 如果源IPv4地址范围相同,再比较配置顺序,配置在前者优先 |
|
IPv4高级ACL |
1. 先比较规则中的协议范围,指定有IPv4承载的协议类型者优先 2. 如果协议范围相同,再比较源IPv4地址范围,较小者优先 3. 如果源IPv4地址范围也相同,再比较目的IPv4地址范围,较小者优先 4. 如果目的IPv4地址范围也相同,再比较四层端口(即TCP/UDP端口)号范围,较小者优先 5. 如果四层端口号范围也相同,再比较配置顺序,配置在前者优先 |
|
IPv6基本ACL |
1. 先比较规则中的源IPv6地址范围,较小者优先 2. 如果源IPv6地址范围相同,再比较配置顺序,配置在前者优先 |
|
IPv6高级ACL |
1. 先比较规则中的协议范围,指定有IPv6承载的协议类型者优先 2. 如果协议范围相同,再比较源IPv6地址范围,较小者优先 3. 如果源IPv6地址范围也相同,再比较目的IPv6地址范围,较小者优先 4. 如果目的IPv6地址范围也相同,再比较四层端口(即TCP/UDP端口)号范围,较小者优先 5. 如果四层端口号范围也相同,再比较配置顺序,配置在前者优先 |
|
链路层ACL |
1. 先比较规则中的源MAC地址范围,较小者优先 2. 如果源MAC地址范围相同,再比较目的MAC地址范围,较小者优先 3. 如果目的MAC地址范围也相同,再比较配置顺序,配置在前者优先 |
· 比较IPv4地址范围的大小,就是比较IPv4地址通配符掩码中“0”位的多少:“0”位越多,范围越小。通配符掩码(又称反向掩码)以点分十进制表示,并以二进制的“0”表示“匹配”,“1”表示“不关心”,这与子网掩码恰好相反,譬如子网掩码255.255.255.0对应的通配符掩码就是0.0.0.255。此外,通配符掩码中的“0”或“1”都可以是不连续的,这样可以更加灵活地进行匹配,譬如0.255.0.255就是一个合法的通配符掩码。
· 比较IPv6地址范围的大小,就是比较IPv6地址前缀的长短:前缀越长,范围越小。
· 比较MAC地址范围的大小,就是比较MAC地址掩码中“1”位的多少:“1”位越多,范围越小。
ACL内的每条规则都有自己的编号,每个规则的编号在一个ACL中都是唯一的。在创建规则时,可以人为地为其指定一个编号,也可以由系统为其自动分配一个编号。
在自动分配编号时,为了方便后续在已有规则之前插入新的规则,系统通常会在相邻编号之间留下一定的空间,这个空间的大小(即相邻编号之间的差值)就称为ACL的步长。譬如,当步长为5时,系统会将编号0、5、10、15……依次分配给新创建的规则。
系统为规则自动分配编号的方式如下:系统按照步长从0开始,自动分配一个大于现有最大编号的最小编号。譬如原有编号为0、5、9、10和12的五条规则,步长为5,此时如果创建一条规则且不指定编号,那么系统将自动为其分配编号15。
如果改变步长,ACL内原有全部规则的编号都将自动从0开始按新步长重新排列。譬如,某ACL内原有编号为0、5、9、10和15的五条规则;当修改步长为2之后,这些规则的编号将依次变为0、2、4、6和8。
时间段用于描述一个特定的时间范围。用户可能有这样的需求:一些ACL规则只需在某个或某些特定的时间段内生效(即进行报文过滤),这也称为基于时间段的ACL过滤。为此,用户可以先配置一个或多个时间段,然后在ACL规则下引用这些时间段,那么该规则将只在指定的时间段内生效。
传统的报文过滤并不处理所有的IPv4报文分片,而只对首片分片报文进行匹配处理,而对后续分片一律放行。这样,网络攻击者可能构造后续的分片报文进行流量攻击,就带来了安全隐患。
为提高网络安全性,ACL规则缺省会匹配所有报文(包括非分片报文和分片报文的每个分片)。同时,为了提高匹配效率,用户也可以对此匹配策略进行修改,譬如可指定规则仅对分片报文的非首个分片有效等。
IPv4 ACL配置的推荐步骤如下表所示。
|
步骤 |
配置任务 |
说明 |
|
1 |
可选 新建时间段,ACL中的每条规则都可选择一个时间段,这条规则只在该指定的时间段内生效 |
|
|
2 |
必选 新建IPv4 ACL,可通过配置不同的ID建立不同类型的IPv4 ACL |
|
|
3 |
三者必选其一 定义ACL中的匹配规则 须根据不同类型的IPv4 ACL,配置不同类型的规则 |
|
IPv6 ACL配置的推荐步骤如下表所示。
表1-4 IPv6 ACL配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
可选 新建时间段,ACL中的每条规则都可选择一个时间段,这条规则只在该指定的时间段内生效 |
|
|
2 |
必选 新建IPv6 ACL,可通过配置不同的ID建立不同类型的IPv6 ACL |
|
|
3 |
二者必选其一 定义ACL中的匹配规则 须根据不同类型的IPv6 ACL,配置不同类型的规则 |
|
(1) 在导航栏中选择“QoS > 时间段”。
(2) 单击“新建”页签,进入时间段的配置页面,如下图所示。
图1-1 时间段新建
(3) 配置时间段,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
|
配置项 |
说明 |
||
|
时间段名称 |
设置时间段的名称 |
||
|
周期时间段 |
开始时间 |
设置一个周期时间范围的开始时间 |
在一个时间段中,如果同时设置了周期时间段和绝对时间段,则生效时间范围为二者的交集 |
|
结束时间 |
设置一个周期时间范围的结束时间,必须大于开始时间 |
||
|
星期日~星期六 |
设置要配置的时间范围在每星期几有效。可在星期日~星期六前的复选框中勾选 |
||
|
绝对时间段 |
从 |
设置一个绝对时间范围从某年某月某日的某一时间开始 |
|
|
到 |
设置一个绝对时间范围到某年某月某日的某一时间结束,必须大于有效时间范围的开始时间 |
||
(1) 在导航栏中选择“QoS > ACL IPv4”。
(2) 单击“新建”页签,进入IPv4 ACL的新建页面,如下图所示。
(3) 进行新建IPv4 ACL的配置,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
表1-6 新建IPv4 ACL的详细配置
|
配置项 |
说明 |
|
访问控制列表ID |
设置IPv4 ACL的序号 |
|
匹配规则 |
设置IPv4 ACL中各规则的匹配顺序 · 用户配置:按用户的配置顺序进行规则匹配 · 自动:系统自动排序,即按深度优先的原则进行规则匹配 |
|
描述 |
设置IPv4 ACL的描述信息 |
(1) 在导航栏中选择“QoS > ACL IPv4”。
(2) 单击“基本配置”页签,进入基本IPv4 ACL规则的配置页面,如下图所示。
(3) 配置基本IPv4 ACL规则,详细配置如下表所示。
(4) 单击<新建>按钮完成操作。
表1-7 基本IPv4 ACL规则的详细配置
|
配置项 |
说明 |
|
访问控制列表 |
设置规则所属的基本IPv4 ACL 可选的访问控制列表为基本IPv4 ACL |
|
规则ID |
设置所配置规则的ID 如果不指定,系统将为该规则自动指定一个规则ID
如果指定的规则ID已经存在,则将该规则修改为新指定的配置 |
|
操作 |
设置对匹配该规则的IPv4报文所进行的操作 · 允许:表示允许匹配该规则的IPv4报文通过 · 禁止:表示禁止匹配该规则的IPv4报文通过 |
|
分片报文 |
设置该规则仅对非首片分片报文有效,对首片分片报文和非分片报文无效 如不设置,则规则对非分片报文和分片报文均有效 |
|
记录日志 |
设置对匹配该规则的IPv4报文记录日志 日志内容包括:ACL规则的序号、报文通过或被丢弃、IP承载的上层协议类型、源/目的地址、源/目的端口号、报文的数目 此功能暂不支持 |
|
源IP地址 |
设置IPv4报文的源IP地址和通配符掩码 均要求为点分十进制格式 |
|
源地址通配符 |
|
|
时间段 |
设置规则生效的时间段 |
(1) 在导航栏中选择“QoS > ACL IPv4”。
(2) 单击“高级配置”页签,进入高级IPv4 ACL规则的配置页面,如下图所示。
(3) 配置高级IPv4 ACL规则,详细配置如下表所示。
(4) 单击<新建>按钮完成操作。
表1-8 高级IPv4 ACL规则的详细配置
|
配置项 |
说明 |
|||
|
访问控制列表 |
设置规则所属的高级IPv4 ACL 可选的访问控制列表为高级IPv4 ACL |
|||
|
规则ID |
设置所配置规则的ID 如果不指定,系统将为该规则自动指定一个规则ID
如果指定的规则ID已经存在,则将该规则修改为新指定的配置 |
|||
|
操作 |
设置对匹配该规则的报文所进行的操作 · 允许:表示允许匹配该规则的报文通过 · 禁止:表示禁止匹配该规则的报文通过 |
|||
|
分片报文 |
设置该规则仅对非首片分片报文有效,对首片分片报文和非分片报文无效 如不设置,则规则对非分片报文和分片报文均有效 |
|||
|
记录日志 |
设置对匹配该规则的报文记录日志 日志内容包括:ACL规则的序号、报文通过或被丢弃、IP承载的上层协议类型、源/目的地址、源/目的端口号、报文的数目 此功能暂不支持 |
|||
|
IP地址过滤 |
源IP地址 |
设置IPv4报文的源IP地址和通配符掩码。均要求为点分十进制格式 |
||
|
源地址通配符 |
||||
|
目的IP地址 |
设置IPv4报文的目的IP地址和通配符掩码。均要求为点分十进制格式 |
|||
|
目的地址通配符 |
||||
|
协议 |
设置IP承载的协议类型 选择“1 ICMP”协议后,需配置ICMP类型;选择“6 TCP”或“17 UDP”协议后,可配置TCP/UDP端口 |
|||
|
ICMP类型 |
选择ICMP |
设置规则的ICMP报文的消息类型和消息码信息 只有配置项“协议”选择为“1 ICMP”时,才可以配置 在“选择ICMP”下拉框中选择一种ICMP报文类型。如果选择“其他”,则下面的ICMP类型、ICMP码必选输入;否则,下面显示的ICMP类型、ICMP码为系统默认的标准值,不可修改 |
||
|
ICMP类型 |
||||
|
ICMP码 |
||||
|
TCP/ UDP端口 |
已连接 |
设置对TCP/UDP连接报文的处理规则 只有配置项“协议”选择为“6 TCP”或“17 UDP”时,才可以配置。 |
||
|
源 |
操作 |
设置TCP/UDP报文的源端口信息和目的端口信息 只有配置项“协议”选择为“6 TCP”或“17 UDP”时,才可以配置。 分别在“源”和“目的”中的“操作”下拉框中选择端口操作符 · 选择“无限制”时,后面的两个“端口”配置项不可以配置 · 选择“在某个范围内”时,后面的两个“端口”配置项都要配置,共同确定一个端口号范围 · 选择其它选项时,后面的两个“端口”配置项中只有第一个要配置,第二个不可以配置 仅对“等于”和“无限制”端口操作符生效,其余操作符均不支持,请不要配置 |
||
|
端口 |
||||
|
端口 |
||||
|
目的 |
操作 |
|||
|
端口 |
||||
|
端口 |
||||
|
优先级过滤 |
DSCP |
设置DSCP优先级 |
如果指定DSCP优先级的同时还指定了ToS或Precedence优先级,则对ToS和Precedence优先级的配置不会生效 |
|
|
ToS |
设置ToS优先级 |
|||
|
Precedence |
设置IP优先级 |
|||
|
时间段 |
设置规则生效的时间段 |
|||
(1) 在导航栏中选择“QoS > ACL IPv4”。
(2) 单击“链路层配置”页签,进入链路层ACL规则的配置页面,如下图所示。
(3) 配置链路层ACL规则,详细配置如下表所示。
(4) 单击<新建>按钮完成操作。
表1-9 链路层ACL规则的详细配置
|
配置项 |
说明 |
|
|
访问控制列表 |
设置规则所属的链路层ACL 可选的访问控制列表为链路层ACL |
|
|
规则ID |
设置所配置规则的ID 如果不指定,系统将为该规则自动指定一个规则ID
如果指定的规则ID已经存在,则将该规则修改为新指定的配置 |
|
|
操作 |
设置对匹配该规则的报文所进行的操作 · 允许:表示允许匹配该规则的报文通过 · 禁止:表示禁止匹配该规则的报文通过 |
|
|
MAC地址过滤器 |
源MAC地址 |
设置报文的源MAC地址和掩码 |
|
源MAC掩码 |
||
|
目的MAC地址 |
设置报文的目的MAC地址和掩码 |
|
|
目的MAC掩码 |
||
|
COS(802.1p priority) |
设置规则的802.1p优先级 |
|
|
类型过滤器 |
LSAP类型 |
设置规则中LLC封装中的DSAP字段和SSAP字段 · LSAP类型:表示数据帧的封装格式 · LSAP掩码:表示类型掩码,用于指定屏蔽位 |
|
LSAP掩码 |
||
|
协议类型 |
设置规则中的链路层协议类型 · 协议类型:表示数据帧的类型,对应Ethernet_II类型和Ethernet_SNAP类型帧中的type-code域 · 协议掩码:表示类型掩码,用于指定屏蔽位 |
|
|
协议掩码 |
||
|
时间段 |
设置规则生效的时间段 |
|
(1) 在导航栏中选择“QoS > ACL IPv6”。
(2) 单击“新建”页签,进入IPv6 ACL的新建页面,如下图所示。
(3) 进行新建IPv6 ACL的配置,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
表1-10 新建IPv6 ACL的详细配置
|
配置项 |
说明 |
|
访问控制列表ID |
设置IPv6 ACL的序号 |
|
匹配规则 |
设置IPv6 ACL中各规则的匹配顺序 · 用户配置:按用户的配置顺序进行规则匹配 · 自动:系统自动排序,即按深度优先的原则进行规则匹配 |
|
描述 |
设置IPv6 ACL的描述信息 |
(1) 在导航栏中选择“QoS > ACL IPv6”。
(2) 单击“基本配置”页签,进入基本IPv6 ACL规则的配置页面,如下图所示。
(3) 配置基本IPv6 ACL规则,详细配置如下表所示。
(4) 单击<新建>按钮完成操作。
表1-11 基本IPv6 ACL规则的详细配置
|
配置项 |
说明 |
|
访问控制列表 |
设置规则所属的基本IPv6 ACL |
|
规则ID |
设置所配置规则的ID 如果不指定,系统将为该规则自动指定一个规则ID
如果指定的规则ID已经存在,则将该规则修改为新指定的配置 |
|
操作 |
设置对匹配该规则的IPv6报文所进行的操作 · 允许:表示允许匹配该规则的IPv6报文通过 · 禁止:表示禁止匹配该规则的IPv6报文通过 |
|
分片报文 |
设置该规则仅对非首片分片报文有效,对首片分片报文和非分片报文无效 如不设置,则规则对非分片报文和分片报文均有效 |
|
记录日志 |
设置对匹配该规则的IPv6报文记录日志 日志内容包括:ACL规则的序号、报文通过或被丢弃、IP承载的上层协议类型、源/目的IPv6地址、源/目的端口号、报文的数目 此功能暂不支持 |
|
源IP地址 |
设置IPv6报文的源IPv6地址和地址前缀长度 IPv6地址的格式类似于X:X::X:X。IPv6地址共128bit,每16bit为一段,段之间用“:”分隔,每段都可以用4位十六进制数表示 |
|
源地址前缀 |
|
|
时间段 |
设置规则生效的时间段 |
(1) 在导航栏中选择“QoS > ACL IPv6”。
(2) 单击“高级配置”页签,进入高级IPv6 ACL规则的配置页面,如下图所示。
(3) 配置高级IPv6 ACL规则,详细配置如下表所示。
(4) 单击<新建>按钮完成操作。
表1-12 高级IPv6 ACL规则的详细配置
|
配置项 |
说明 |
||
|
访问控制列表 |
设置规则所属的高级IPv6 ACL |
||
|
规则ID |
设置所配置规则的ID 如果不指定,系统将为该规则自动指定一个规则ID
如果指定的规则ID已经存在,则将该规则修改为新指定的配置 |
||
|
操作 |
设置对匹配该规则的IPv6报文所进行的操作 · 允许:表示允许匹配该规则的IPv6报文通过 · 禁止:表示禁止匹配该规则的IPv6报文通过 |
||
|
分片报文 |
设置该规则仅对非首片分片报文有效,对首片分片报文和非分片报文无效 如不设置,则规则对非分片报文和分片报文均有效 |
||
|
记录日志 |
设置对匹配该规则的IPv6报文记录日志 日志内容包括:ACL规则的序号、报文通过或被丢弃、IP承载的上层协议类型、源/目的IPv6地址、源/目的端口号、报文的数目 此功能暂不支持 |
||
|
IP地址过滤 |
源IP地址 |
设置IPv6报文的源IPv6地址和地址前缀长度 IPv6地址的格式类似于X:X::X:X。IPv6地址共128bit,每16bit为一段,段之间用“:”分隔,每段都可以用4位十六进制数表示 |
|
|
源地址前缀 |
|||
|
目的IP地址 |
设置IPv6报文的目的IPv6地址和地址前缀长度 IPv6地址的格式类似于X:X::X:X。IPv6地址共128bit,每16bit为一段,段之间用“:”分隔,每段都可以用4位十六进制数表示 |
||
|
目的地址前缀 |
|||
|
协议 |
设置IPv6承载的协议类型 选择“58 ICMPv6”协议后,需配置ICMP类型;选择“6 TCP”或“17 UDP”协议后,可以配置TCP/UDP类型 |
||
|
ICMPv6类型 |
选择ICMPv6 |
设置规则的ICMPv6报文的消息类型和消息码信息 只有配置项“协议”选择为“58 ICMPv6”时,才可以配置 在“选择ICMPv6”下拉框中选择一种ICMPv6报文格式。如果选择“其他”,则下面的ICMPv6类型、ICMPv6码必选输入;否则,下面的ICMPv6类型、ICMPv6码为系统默认的标准值,不可修改 |
|
|
ICMPv6类型 |
|||
|
ICMPv6码 |
|||
|
TCP/UDP端口 |
源 |
操作 |
设置TCP/UDP报文的源端口信息和目的端口信息 只有配置项“协议”选择为“6 TCP”或“17 UDP”时,才可以配置。 分别在“源”和“目的”中的“操作”下拉框中选择端口操作符 · 选择“无限制”时,后面的两个“端口”配置项不可以配置 · 选择“在某个范围内”时,后面的两个“端口”配置项都要配置,共同确定一个端口号范围 · 选择其它选项时,后面的两个“端口”配置项中只有第一个要配置,第二个不可以配置 仅对“等于”和“无限制”端口操作符生效,其余操作符均不支持,请不要配置 |
|
端口 |
|||
|
端口 |
|||
|
目的 |
操作 |
||
|
端口 |
|||
|
端口 |
|||
|
时间段 |
设置规则生效的时间段 |
||
对ACL进行配置时,需要注意如下事项:
(1) 新创建或修改后的规则不能和已经存在的规则相同,否则会导致新建或修改不成功,系统会提示这条规则已经存在。
(2) 当ACL的匹配顺序为“用户配置”时,用户可以修改该ACL中的任何一条已经存在的规则,在修改ACL中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态;当ACL的匹配顺序为“自动”时,用户不能修改该ACL中的任何一条已经存在的规则,否则系统会提示错误信息。
QoS(Quality of Service,服务质量)用于评估服务方满足客户服务需求的能力。在Internet中,QoS所评估的就是网络转发分组的服务能力。
由于网络提供的服务是多样的,因此QoS的评估可以基于不同方面。通常所说的QoS,是对分组转发过程中带宽、延迟、抖动、丢包率等指标进行评估。
在传统的无QoS保障的IP网络中,设备无区别地对待所有的报文,设备处理报文采用的策略是FIFO(First In First Out,先入先出),它依照报文到达时间的先后顺序分配转发所需要的资源。所有报文共享网络和设备的资源,至于得到资源的多少完全取决于报文到达的时间。这种服务策略称作Best-Effort,它尽最大的努力将报文送到目的地,但对分组转发的延迟、抖动、丢包率等需求不提供任何承诺和保证。
传统的Best-Effort服务策略只适用于对带宽、延迟不敏感的WWW、E-Mail等业务。
随着计算机网络的高速发展,越来越多的网络接入Internet。无论从规模、覆盖范围还是用户数量上来看,Internet都扩展得非常快。
除了传统的WWW、E-Mail应用外,用户还尝试在Internet上拓展新业务,比如远程教学、远程医疗、可视电话、电视会议、视频点播等。企业用户也希望通过VPN技术,将分布在各地的分支机构连接起来,开展一些事务性应用:比如访问公司的数据库或通过Telnet管理远程设备。
这些新业务有一个共同特点,即对带宽、延迟、抖动等传输性能有着特殊的需求。比如电视会议、视频点播需要高带宽、低延迟和低抖动的保证。事务处理、Telnet等关键任务虽然不一定要求高带宽,但非常注重低延迟,在拥塞发生时要求优先获得处理。
新业务的不断涌现对IP网络的服务能力提出了更高的要求,用户已不再满足于能够简单地将报文送达目的地,还希望在转发过程中得到更好的服务,诸如为用户提供专用带宽、减少报文的丢失率、管理和避免网络拥塞、调控网络的流量。所有这些都要求网络具备更为完善的服务能力。
传统网络所面临的服务质量问题,主要是由网络拥塞引起的。所谓拥塞,是指由于供给资源的相对不足而造成转发速率下降、引入额外延迟,从而导致服务质量下降的一种现象。
在复杂的Internet分组交换环境下,拥塞极为常见。以下图中的两种情况为例:
图2-1 流量拥塞示意图
(1) 分组流从高速链路进入设备,由低速链路转发出去。
(2) 分组流从多个接口同时进入网络设备,由一个接口转发出去(多个接口的速率和大于出接口的速率)。
如果流量以线速到达,那么就会遭遇资源的瓶颈而导致拥塞。
不仅仅是链路带宽的瓶颈会导致拥塞,任何用于正常转发处理的资源的不足(如可分配的处理器时间、缓冲区、内存资源的不足)都会造成拥塞。此外,在某个时间内对所到达的流量控制不力,使之超出了可分配的网络资源,也是引发网络拥塞的一个因素。
拥塞有可能会引发一系列的负面影响:
· 拥塞增加了报文传输的延迟和抖动,过高的延迟会引起报文重传。
· 拥塞使网络的有效吞吐率降低,造成网络资源的利用率降低。
· 拥塞加剧会耗费大量的网络资源(特别是存储资源),不合理的资源分配甚至可能导致系统陷入资源死锁而崩溃。
可见,拥塞使流量不能及时获得资源是造成服务性能下降的源头。在分组交换以及多用户业务并存的复杂环境下,拥塞又是不可避免的,因此必须采用适当的方法来解决拥塞。
增加网络带宽是解决资源不足的一个直接途径,然而网络带宽不可能无限制的增加,因此它并不能解决所有导致网络拥塞的问题。
解决网络拥塞问题的一个更有效的办法是在网络中增加流量控制和资源分配的功能,为有不同服务需求的业务提供有差别的服务,更合理地分配和使用资源。在进行资源分配和流量控制的过程中,尽可能地控制好那些可能引发网络拥塞的直接或间接因素,从而减少拥塞发生的概率;在拥塞发生时,依据业务的性质及其需求权衡资源的分配,将拥塞的影响减到最小。
图2-2 端到端QoS模型图
如上图所示,流分类、流量监管、流量整形、拥塞管理和拥塞避免是构造有区别地实施服务的基石,它们主要完成如下功能:
· 流分类:依据一定的匹配规则识别出报文,通常作用在接口入方向。
· 流量监管:对进入或流出设备的特定流量的规格进行监管。当流量超出规格时,可以采取限制或惩罚措施,以保护网络资源不受损害。可以作用在接口入方向和出方向。
· 流量整形:一种主动调整流的输出速率的流控措施,用来使流量适配下游设备可供给的网络资源,避免不必要的报文丢弃和拥塞,通常作用在接口出方向。
· 拥塞管理:就是当拥塞发生时如何制定一个资源的调度策略,以决定报文转发的处理次序,通常作用在接口出方向。
· 拥塞避免:监督网络资源的使用情况,当发现拥塞有加剧的趋势时采取主动丢弃报文的策略,通过调整流量来解除网络的过载,通常作用在接口出方向。
在这些QoS技术中,流分类是基础,是有区别地实施服务的前提;而流量监管、流量整形、拥塞管理和拥塞避免从不同方面对网络流量及其分配的资源实施控制,是有区别地提供服务思想的具体体现。
流分类可以使用IP报文头的ToS(Type of Service,服务类型)字段的优先级位,识别出有不同优先级特征的流量;也可以由网络管理者设置流分类的策略,例如综合源地址、目的地址、MAC地址、IP协议或应用程序的端口号等信息对流进行分类。
流分类的结果是没有范围限制的,它可以是一个由五元组(源地址、源端口号、协议号、目的地址、目的端口号)确定的狭小范围,也可以是到某网段的所有报文。
一般在网络边界对报文分类时,同时设置报文IP头的ToS字段中的优先级位。这样,在网络的内部就可以直接使用IP优先级作为分类标准。而队列技术也可以使用这个优先级来对报文进行不同的处理。下游网络可以选择接收上游网络的分类结果,也可以按照自己的标准重新进行分类。
进行流分类是为了有区别地提供服务,它必须与某种流控或资源分配动作关联起来才有意义。具体采取何种流控动作,与所处的阶段以及网络当前的负载状况有关。例如,当报文进入网络时依据承诺速率对它进行监管;流出节点之前进行整形;拥塞时对队列进行调度管理;拥塞加剧时采取拥塞避免措施等。
图2-3 ToS和DS域
如上图2-3所示,IP报文头的ToS字段有8个bit,RFC 2474中,重新定义了IP报文头部的ToS域,称之为DS(Differentiated Services,差分服务)域,其中DSCP优先级用该域的前6位(0~5位)表示,取值范围为0~63,后2位(6、7位)是保留位。
表2-1 DSCP优先级说明
|
IP优先级(十进制) |
IP优先级(二进制) |
关键字 |
|
46 |
101110 |
ef |
|
10 |
001010 |
af11 |
|
12 |
001100 |
af12 |
|
14 |
001110 |
af13 |
|
18 |
010010 |
af21 |
|
20 |
010100 |
af22 |
|
22 |
010110 |
af23 |
|
26 |
011010 |
af31 |
|
28 |
011100 |
af32 |
|
30 |
011110 |
af33 |
|
34 |
100010 |
af41 |
|
36 |
100100 |
af42 |
|
38 |
100110 |
af43 |
|
8 |
001000 |
cs1 |
|
16 |
010000 |
cs2 |
|
24 |
011000 |
cs3 |
|
32 |
100000 |
cs4 |
|
40 |
101000 |
cs5 |
|
48 |
110000 |
cs6 |
|
56 |
111000 |
cs7 |
|
0 |
000000 |
be(default) |
802.1p优先级位于二层报文头部,适用于不需要分析三层报头,而需要在二层环境下保证QoS的场合。
图2-4 带有802.1Q标签头的以太网帧
如上图所示,4个字节的802.1Q标签头包含了2个字节的TPID(Tag Protocol Identifier,标签协议标识符)和2个字节的TCI(Tag Control Information,标签控制信息),TPID取值为0x8100。下图显示了802.1Q标签头的详细内容,Priority字段就是802.1p优先级。之所以称此优先级为802.1p优先级,是因为有关这些优先级的应用是在802.1p规范中被详细定义的。
图2-5 802.1Q标签头
表2-2 802.1p优先级说明
|
802.1p优先级(十进制) |
802.1p优先级(二进制) |
关键字 |
|
0 |
000 |
best-effort |
|
1 |
001 |
background |
|
2 |
010 |
spare |
|
3 |
011 |
excellent-effort |
|
4 |
100 |
controlled-load |
|
5 |
101 |
video |
|
6 |
110 |
voice |
|
7 |
111 |
network-management |
对于拥塞管理,一般采用队列技术,使用一个队列算法对流量进行分类,之后用某种优先级别算法将这些流量发送出去。每种队列算法都是用以解决特定的网络流量问题,并对带宽资源的分配、延迟、抖动等有着十分重要的影响。
这里介绍两种常用的硬件实现拥塞管理的队列调度机制:SP(Strict Priority,严格优先级)队列和WRR(Weighted Round Robin,加权轮询)队列。
SP队列包含多个队列,分别对应不同的优先级,按优先级递减的顺序进行调度。SP队列调度算法是针对关键业务型应用设计的。关键业务有一个重要的特点,即在拥塞发生时要求优先获得服务以减小响应的延迟。
图2-6 SP队列示意图
以端口有8个输出队列为例,优先队列将端口的8个输出队列分成8类,依次为7、6、5、4、3、2、1、0队列,它们的优先级依次降低。在队列调度时,SP严格按照优先级从高到低的顺序优先发送较高优先级队列中的分组,当较高优先级队列为空时,再发送较低优先级队列中的分组。这样,将关键业务的分组放入较高优先级的队列,将非关键业务(如E-Mail)的分组放入较低优先级的队列,可以保证关键业务的分组被优先传送,非关键业务的分组在处理关键业务数据的空闲间隙被传送。
SP的缺点是如果较高优先级队列中长时间有分组存在,那么低优先级队列中的报文将一直得不到服务。
WRR队列调度算法在队列之间进行轮流调度,保证每个队列都得到一定的服务时间。
图2-7 WRR队列示意图
以端口有8个输出队列为例,WRR可为每个队列配置一个加权值(依次为w7、w6、w5、w4、w3、w2、w1、w0),加权值表示获取资源的比重。如一个100M的端口,配置它的WRR队列调度算法的加权值为25:25:15:15:5:5:5:5(依次对应w7、w6、w5、w4、w3、w2、w1、w0),这样可以保证最低优先级队列至少获得5Mbit/s带宽,避免了采用SP调度时低优先级队列中的报文可能长时间得不到服务的缺点。WRR队列还有一个优点是,虽然多个队列的调度是轮询进行的,但对每个队列不是固定地分配服务时间片——如果某个队列为空,那么马上换到下一个队列调度,这样带宽资源可以得到充分的利用。
基本WRR队列包含多个队列,用户可以定制各个队列的权重,WRR按用户设定的参数进行加权轮询调度。
还可通过配置实现SP+WRR功能,即在配置WRR队列时,将某个或某些队列划分到SP组。此时,系统首先按照严格优先级对SP组中的队列进行调度。当SP组中的队列没有报文发送时,再按照WRR算法对其它队列进行调度。
端口限速是采用令牌桶进行流量控制的一种方法。利用端口限速可以在一个物理端口上限制发送报文(包括紧急报文)的总速率。端口限速能够限制在物理端口上通过的所有报文。
令牌桶可以看作是一个存放一定数量令牌的容器。系统按设定的速度向桶中放置令牌,当桶中令牌满时,多出的令牌溢出,桶中令牌不再增加。
在用令牌桶评估流量规格时,是以令牌桶中的令牌数量是否足够满足报文的转发为依据的。如果桶中存在足够的令牌可以用来转发报文(通常用一个令牌关联一个比特的转发权限),称流量遵守或符合(conforming)这个规格,否则称为不符合或超标(excess)。
评估流量时令牌桶的参数设置包括:
· 平均速率:向桶中放置令牌的速率,即允许的流的平均速度。通常设置为CIR(Committed Information Rate,承诺信息速率)。
· 突发尺寸:令牌桶的容量,即每次突发所允许的最大的流量尺寸。通常设置为CBS(Committed Burst Size,承诺突发尺寸),设置的突发尺寸必须大于最大报文长度。
每到达一个报文就进行一次评估。每次评估,如果桶中有足够的令牌可供使用,则说明流量控制在允许的范围内,此时要从桶中取走与报文转发权限相当的令牌数量;否则说明已经耗费太多令牌,流量超标了。
当设备的某个端口上配置了端口限速时,所有经由该端口发送的报文首先要经过端口限速的令牌桶进行处理。如果令牌桶中有足够的令牌,则报文可以发送;否则,报文将进入QoS队列进行拥塞管理。这样,就可以对通过该物理端口的报文流量进行控制。
图2-9 端口限速处理过程示意图
由于采用了令牌桶控制流量,当令牌桶中存有令牌时,可以允许报文的突发性传输;当令牌桶中没有令牌时,报文必须等到桶中生成了新的令牌后才可以继续发送。这就限制了报文的流量不能大于令牌生成的速度,达到了限制流量,同时允许突发流量通过的目的。
在网络的入口需要为网络的流量打上一定的区分标记,这种标记用以标识流量的调度权重或者转发处理优先级别的高低。网络中间节点处理报文时,就可以根据报文的优先级来进行相应的调度。
报文在进入设备以后,设备会根据自身支持的情况和相应的规则给报文分配包括802.1p优先级、DSCP、本地优先级等在内的一系列参数。
· 802.1p优先级和DSCP优先级的介绍请参见2.1.6 报文优先级。
· 本地优先级是指设备为报文分配的一种具有本地意义的优先级,对应出端口队列序号。本地优先级值越大的报文越被优先处理。
设备提供了两种端口优先级信任模式:
· 信任报文的优先级:按照接收端口上配置的优先级信任模式,根据报文自身的优先级,查找优先级映射表,为报文分配优先级参数。
· 信任端口的优先级:按照接收端口的端口优先级,通过一一映射为报文分配本地优先级。
用户可以根据需要配置端口优先级信任模式。设备上报文的优先级映射过程如下图所示。
图2-10 支持端口优先级信任模式的情况下优先级映射过程示意图
设备提供了多张优先级映射表,分别对应相应的优先级映射关系。各个优先级的映射表和缺省取值如下所示。
· CoS to Queue:802.1p优先级到本地优先级映射表。
· DSCP to Queue:DSCP到本地优先级映射表,仅对IP报文生效。
映射表缺省取值如下所示。
表2-3 CoS to Queue缺省映射关系
|
映射输入索引(CoS) |
映射优先级(Queue) |
|
0 |
2 |
|
1 |
0 |
|
2 |
1 |
|
3 |
3 |
|
4 |
4 |
|
5 |
5 |
|
6 |
6 |
|
7 |
7 |
表2-4 DSCP to Queue缺省映射关系
|
映射输入索引(DSCP) |
映射优先级(Queue) |
|
0~7 |
0 |
|
8~15 |
1 |
|
16~23 |
2 |
|
24~31 |
3 |
|
32~39 |
4 |
|
40~47 |
5 |
|
48~55 |
6 |
|
56~63 |
7 |
QoS策略包含了三个要素:类、流行为、策略。用户可以通过QoS策略将指定的类和流行为绑定起来,方便的进行QoS配置。
(1) 类
类是用来识别流的。
类的要素包括:类的名称和类的规则。
用户可以定义一系列的规则,来对报文进行分类。同时用户可以指定规则之间的关系:and和or。
· and:报文只有匹配了所有的规则,设备才认为报文属于这个类。
· or:报文只要匹配了类中的一个规则,设备就认为报文属于这个类。
(2) 流行为
流行为用来定义针对报文所做的QoS动作。
流行为的要素包括:流行为的名称和流行为中定义的动作。
用户可以在一个流行为中定义多个动作。
(3) 策略
QoS策略支持基于端口的应用,即QoS策略对端口接收的流量生效。一个策略只能在一个端口上得到应用。每个端口只能在入方向上应用一个策略。
QoS策略配置的推荐步骤如下表所示。
表2-5 QoS策略配置步骤
|
步骤 |
配置任务 |
说明 |
||
|
1 |
配置类 |
必选 新建一个类,并配置该类下的规则之间的逻辑关系 |
||
|
必选 配置类中报文所匹配的规则 |
||||
|
2 |
配置流行为 |
必选 新建一个流行为 |
||
|
配置流行为的动作 |
二者至少选其一 配置流行为的各种动作 |
|||
|
3 |
配置策略 |
必选 新建一个策略 |
||
|
必选 在策略中为类指定采用的流行为 策略下每个类只能与一个流行为关联,如果一个策略下的某个类与多个流行为配置了关联,则最后的配置将覆盖前面的配置 |
||||
|
4 |
应用策略 |
必选 在指定端口上应用QoS策略 |
||
队列调度配置的推荐步骤如下表所示。
|
步骤 |
配置任务 |
说明 |
|
1 |
可选 在指定端口上配置队列调度的方式 |
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 设置限制物理端口接收或者发送数据的速率 |
优先级映射表配置的推荐步骤如下表所示。
|
步骤 |
配置任务 |
说明 |
|
1 |
可选 设置不同类型映射表中的映射输入索引和映射优先级的对应关系 |
端口优先级配置的推荐步骤如下表所示。
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 |
(1) 在导航栏中选择“QoS > 类”。
(2) 单击“新建”页签,进入类的新建页面,如下图所示。
图2-11 类新建
(3) 进行新建类的配置,详细配置如下表所示。
(4) 单击<新建>按钮完成操作。
|
配置项 |
说明 |
|
类名称 |
为要新建的类指定一个类名称 |
|
操作 |
指定类下的规则之间的逻辑关系: · And:逻辑与的关系,即数据包必须匹配全部规则才属于该类 · Or:逻辑或的关系,即数据包只要匹配其中任何一个规则就属于该类 建议用户不要配置规则之间的逻辑关系为“or”,否则会导致操作失败 |
(1) 在导航栏中选择“QoS > 类”。
(2) 单击“设置”页签,进入类的配置页面,如下图所示。
(3) 配置分类规则,详细配置如下表所示。
(4) 单击<应用>按钮,弹出配置进度对话框。
(5) 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
|
配置项 |
说明 |
|
|
VLAN |
用户网络号 |
设置匹配用户网络VLAN ID的规则 一个类下可配置一条这样的规则 每次可以配置多个VLAN ID值,如果一次配置中有多个VLAN ID值相同,系统默认为一个;多个不同的VLAN ID值是或的关系。有两种输入方式: · 输入一个连续的VLAN ID范围,其中包含的VLAN ID个数没有限制,如:10-500 · 输入不连续的VLAN ID或范围,其中最多可以包含8个VLAN ID,如:3,5-7,10 需要注意的是,用户实际只能输入一个VLAN ID,否则策略会下发失败 |
|
访问控制列表 |
ACL IPv4 |
设置匹配IPv4 ACL的规则 |
|
ACL IPv6 |
设置匹配IPv6 ACL的规则 |
|
(1) 在导航栏中选择“QoS > 流行为”。
(2) 单击“新建”页签,进入流行为的新建页面,如下图所示。
(3) 配置新建流行为的名称。
(1) 在导航栏中选择“QoS > 流行为”。
(2) 单击“端口设置”页签,进入流行为的端口配置页面,如下图所示。
(3) 配置流镜像和流量重定向,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
|
配置项 |
说明 |
|
请选择一个流行为 |
在下拉框中选择一个已存在的流行为名称 |
|
流镜像 |
设置流镜像到目的端口的动作 |
|
流量重定向 |
设置流量重定向到目的端口动作 |
|
请选择一个端口 |
在面板示意图中点击选择要配置的流镜像或流量重定向动作的目的端口 |
(1) 在导航栏中选择“QoS > 流行为”。
(2) 单击“设置”页签,进入流行为的配置页面,如下图所示。
(3) 配置流行为其它动作,详细配置如下表所示。
(4) 单击<应用>按钮,弹出配置进度对话框。
(5) 看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
|
配置项 |
说明 |
|
|
请选择一个流行为 |
在下拉框中选择一个已存在的流行为名称 |
|
|
流量监管 |
使能/禁止 |
设置使能或禁止流量监管 |
|
CIR |
设置承诺信息速率,流量的平均速率 |
|
|
标记QoS值 |
IEEE802.1p优先级 |
设置标记报文的802.1p优先级 选中前面的复选框后,在后面的下拉框中选择802.1p优先级,选择Not Set表示取消标记报文的802.1p优先级的设置 |
|
DSCP |
设置标记报文的DSCP值 选中前面的复选框后,在后面的下拉框中选择DSCP值,选择Not Set表示取消标记报文的DSCP值的设置 |
|
|
包过滤 |
设置包过滤动作 选中前面的复选框后,在后面的下拉框中进行选择: · Permit:表示发送数据包 · Deny:表示丢弃数据包 · Not Set:表示取消包过滤动作设置 |
|
(1) 在导航栏中选择“QoS > QoS Policy”。
(2) 单击“新建”页签,进入策略的新建页面,如下图所示。
图2-16 策略新建
(3) 配置新建策略的名称。
(1) 在导航栏中选择“QoS > QoS Policy”。
(2) 单击“设置”页签,进入策略的配置页面,如下图所示。
(3) 配置策略中类和流行为对应关系,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
|
配置项 |
说明 |
|
请选择一个策略 |
在下拉框中选择一个已存在的策略名 |
|
类名称 |
在下拉框中选择一个已存在的类名称 |
|
流行为名称 |
在下拉框中选择一个已存在的流行为名称 |
(1) 在导航栏中选择“QoS > 端口策略”。
(2) 单击“设置”页签,进入端口策略的配置页面,如下图所示。
(3) 在端口上应用策略,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
|
配置项 |
说明 |
|
请选择一个策略 |
在下拉框中选择一个已存在的策略名 |
|
方向 |
设置应用QoS策略的方向 · Inbound:表示对端口接收到的报文应用QoS策略 · Outbound:表示对端口发送的报文应用QoS策略 |
|
请选择端口 |
设置要应用该QoS策略的端口 在面板示意图中点击进行选择,可以选择一个或多个端口 |
(1) 在导航栏中选择“QoS > 队列调度”。
(2) 单击“设置”页签,进入队列调度的配置页面,如下图所示。
(3) 在端口上配置队列,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
|
配置项 |
说明 |
|
|
加权轮询队列设置 |
加权轮询队列 |
在指定端口上配置按照加权轮询队列进行调度: · Enable:在指定端口上使能加权轮询队列 · Not Set:恢复指定端口上缺省的队列算法 |
|
队列序号 |
选择要配置的队列的序号 取值为0~7 |
|
|
优先组 |
设置该队列属于哪个优先组 队列序号选择某个值后可用,可选的优先组包括: · SP:表示该队列属于严格优先组 · 1:表示该队列属于加权轮询队列优先组1 |
|
|
权重 |
设置队列的调度权重 优先组为“1”时可用 |
|
|
请选择端口 |
在面板示意图中点击选择要配置队列的端口,可以选择一个或多个端口 |
|
(1) 在导航栏中选择“QoS > 端口限速”。
(2) 单击“设置”页签,进入端口限速的配置页面,如下图所示。
(3) 配置端口限速,详细配置如下表所示。
(4) 单击<应用>按钮完成操作。
|
配置项 |
说明 |
|
请选择一种接口类型 |
设置要配置端口限速的接口类型 |
|
限速 |
设置使能或禁止指定端口的端口限速功能 |
|
方向 |
设置对指定端口上哪个方向的数据流进行限速 · Inbound:表示对指定端口接收到的数据流进行限速 · Outbound:表示对指定端口发送的数据流进行限速 · Both:表示对指定端口接收和发送的数据流进行限速 |
|
CIR |
设置承诺信息速率,流量的平均速率 |
|
请选择端口 |
设置要配置端口限速的端口 端口列表选择框中为指定接口类型的端口列表,在其中点击进行选择,可以选择一个或多个端口 |
(1) 在导航栏中选择“QoS > 优先级映射表”,进入如下图所示的页面。
(2) 配置优先级映射表,详细配置如下表所示。
(3) 单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
映射表类型 |
设备要配置的映射表的类型,包括:CoS to Queue、DSCP to Queue |
|
映射输入索引 |
设置不同映射输入索引所对应的映射优先级的值 |
|
映射优先级 |
|
|
<恢复缺省> |
单击此按钮可以使当前映射表显示的映射优先级值都恢复到缺省的状态 需要注意的使,要恢复缺省配置,还必须要单击<确定>按钮才能生效 |
(1) 在导航栏中选择“QoS > 端口优先级”,进入如下图所示的页面。
(2) 单击端口对应的
图标,进入该端口的优先级和信任模式的配置页面,如下图所示。
(3) 配置端口优先级,详细配置如下表所示。
(4) 单击<确定>按钮完成操作。
|
配置项 |
说明 |
|
接口名称 |
显示要配置的端口 |
|
优先级 |
设置端口本地优先级的值 |
|
信任模式 |
设置端口优先级信任模式: · Untrust:端口不信任报文的优先级 · Dot1p:信任报文自带的802.1p优先级,以此优先级进行优先级映射 · DSCP:信任IP报文自带的DSCP优先级,以此优先级进行优先级映射 |
当ACL作为QoS策略中流分类的匹配条件时,ACL仅用于匹配报文,ACL规则中的动作(deny或permit)被忽略,不作为对报文进行丢弃或转发的依据。
· 如下图所示,Switch与FTP服务器(IP地址为10.1.1.1/24)相连,用户通过Ethernet1/0/1 接入Switch。
· 要求正确配置ACL和QoS策略,禁止用户在每天的8:00~18:00访问FTP服务器。
图3-1 ACL/QoS配置组网图
采用如下思路进行配置:
(1) 配置限制用户在每天的8:00~18:00访问FTP服务器的ACL规则。
(2) 配置QoS策略为:匹配该ACL规则的类,采取丢弃数据包的动作。
(3) 在Ethernet1/0/1的入方向上应用该QoS策略。
步骤1:在导航栏中选择“QoS > 时间段”。
步骤2:单击“新建”页签。
步骤3:进行如下配置,如下图所示。
· 输入时间段名称为“test-time”。
· 选中“周期时间段”前的复选框。
· 设置开始时间为“8:0”,结束时间为“18:0”。
· 选中“星期日”~“星期六”前的复选框。
步骤4:单击<应用>按钮完成操作。
图3-2 定义每天8:00至18:00的周期时间段
(2) 新建高级IPv4 ACL。
步骤1:在导航栏中选择“QoS > ACL IPv4”。
步骤2:单击“新建”页签。
步骤3:输入访问控制列表ID为“3000”,如下图所示。
步骤4:单击<应用>按钮完成操作。
图3-3 新建高级IPv4 ACL
(3) 配置到FTP服务器的访问规则。
步骤1:单击“高级配置”页签。
步骤2:进行如下配置,如下图所示。
· 选择访问控制列表为“3000”。
· 选中“规则ID”前的复选框,输入规则ID为“2”。
· 选择操作为“允许”。
· 选中“目的IP地址”前的复选框,输入目的IP地址为“10.1.1.1”,输入目的地址通配符为“0.0.0.0”。
· 选择时间段为“test-time”。
步骤3:单击<新建>按钮完成操作。
图3-4 配置到FTP服务器的访问规则
(4) 新建类。
步骤1:在导航栏中选择“QoS > 类”。
步骤2:单击“新建”页签。
步骤3:输入类名称为“class1”,如下图所示。
步骤4:单击<新建>按钮完成操作。
(5) 配置分类规则。
步骤1:单击“设置”页签。
步骤2:进行如下配置,如下图所示。
· 选择类名称为“class1”。
· 选中“ACL IPv4”前的复选框,选择访问控制列表ID为“3000”。
步骤3:单击<应用>按钮,弹出配置进度对话框,如下图所示。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(6) 新建流行为。
步骤1:在导航栏中选择“QoS > 流行为”。
步骤2:单击“新建”页签。
步骤3:输入流行为名称为“behavior1”,如下图所示。
步骤4:单击<新建>按钮完成操作。
(7) 配置流行为的动作。
步骤1:单击“设置”页签。
步骤2:进行如下配置,如下图所示。
· 选择流行为为“behavior1”。
· 选中“包过滤”前的复选框,选择行为为“Deny”。
步骤3:单击<应用>按钮,弹出配置进度对话框。
步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
(8) 新建策略。
步骤1:在导航栏中选择“QoS > QoS Policy”。
步骤2:单击“新建”页签。
步骤3:输入策略名为“policy1”,如下图所示。
步骤4:单击<新建>按钮完成操作。
(9) 配置策略中类和流行为的对应关系。
步骤1:单击“设置”页签。
步骤2:进行如下配置,如下图所示。
· 选择策略为“policy1”。
· 选择类名称为“class1”。
· 选择流行为名称为“behavior1”。
步骤3:单击<应用>按钮完成操作。
(10) 在端口的入方向上应用QoS策略。
步骤1:在导航栏中选择“QoS > 端口策略”。
步骤2:单击“设置”页签。
步骤3:进行如下配置,如下图所示。
· 选择策略为“policy1”。
· 选择方向为“Inbound”。
· 选择端口为“Ethernet1/0/1 ”。
步骤4:单击<应用>按钮,弹出配置进度对话框。
步骤5:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
