- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
16-QoS设置
本章节下载 (1006.27 KB)
目 录
Web页面提供的ACL配置功能如下:
· 配置IPv4 ACL
· 配置IPv4 ACL基本规则
· 配置IPv4 ACL高级规则
· 配置IPv4 ACL链路层规则
ACL(Access Control List,访问控制列表)是用来实现流识别功能的。网络设备为了过滤报文,需要配置一系列的匹配条件对报文进行分类,这些条件可以是报文的源地址、目的地址、端口号等。
当设备的端口接收到报文后,即根据当前端口上应用的ACL规则对报文的字段进行分析,在识别出特定的报文之后,根据预先设定的策略允许或禁止该报文通过。
由ACL定义的报文匹配规则可以应用于诸多特性,如服务管理等,有关ACL在这些特性中的具体应用,请参见相关的配置手册。
根据功能以及规则指定依据的不同,可以将IPv4 ACL分为四种类型,如表1-1所示。
|
IPv4 ACL类型 |
编号范围 |
规则指定依据 |
|
基本ACL |
2000~2999 |
只根据报文的源IP地址信息制定匹配规则 |
|
高级ACL |
3000~3999 |
根据报文的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议的特性等三、四层信息制定匹配规则 |
|
链路层ACL |
4000~4999 |
根据报文的源MAC地址、目的MAC地址、802.1p优先级、链路层协议类型等二层信息制定匹配规则 |
· 关于IPv4 ACL的详细介绍请参见《H3C MSR系列路由器 配置指导》,“ACL和QoS配置指导”中的“ACL”。
· IPv4 ACL类型的支持情况与设备的具体型号有关,请以设备的实际情况为准。
IPv4 ACL配置的推荐步骤如表1-2所示。
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 新建IPv4 ACL,可通过指定不同的ID配置不同类型的IPv4 ACL |
|
|
2 |
三者必选其一 定义ACL中的匹配规则 须根据不同类型的IPv4 ACL,配置不同类型的规则 |
|
在导航栏中选择“高级配置 > QoS设置 > ACL IPv4”,单击“新建”页签,进入IPv4 ACL的新建页面,如图1-1所示。
新建IPv4 ACL的详细配置如表1-3所示。
表1-3 新建IPv4 ACL的详细配置
|
配置项 |
说明 |
|
访问控制列表ID |
设置要配置IPv4 ACL的序号(2000~2999) |
|
匹配规则 |
设置IPv4 ACL中各规则的匹配顺序 · 用户配置:按照规则ID由小到大进行匹配 · 自动:按照深度优先原则由深到浅进行匹配 |
|
描述 |
设置IPv4 ACL的描述信息 |
可点击返回“表1-2 IPv4 ACL配置步骤”。
在导航栏中选择“高级配置 > QoS设置 > ACL IPv4”,单击“基本配置”页签,进入IPv4 ACL基本规则的配置页面,如图1-2所示。
图1-2 ACL IPv4基本配置
IPv4 ACL基本规则的详细配置如表1-4所示。
表1-4 IPv4 ACL基本规则的详细配置
|
配置项 |
说明 |
|
访问控制列表 |
设置规则所属的基本IPv4 ACL 可选的访问控制列表为基本IPv4 ACL |
|
规则ID |
设置所配置规则的ID 如果不指定,系统将为该规则自动指定一个规则ID
如果指定的规则ID已经存在,则将该规则修改为新指定的配置 |
|
操作 |
设置对匹配该规则的IPv4报文所进行的操作 · 允许:表示允许匹配该规则的IPv4报文通过 · 禁止:表示禁止匹配该规则的IPv4报文通过 |
|
分片报文 |
设置该规则仅对非首片分片报文有效,对首片分片报文和非分片报文无效 如不设置,则规则对非分片报文和分片报文均有效 |
|
记录日志 |
设置对匹配该规则的IPv4报文记录日志 日志内容包括:ACL规则的序号、报文通过或被丢弃、IP承载的上层协议类型、源/目的地址、源/目的端口号、报文的数目 |
|
源IP地址 |
设置IPv4报文的源IP地址和通配符掩码 均要求为点分十进制格式 |
|
源地址通配符 |
|
|
时间段 |
设置规则生效的时间段
时间段需要预先通过命令行在设备上创建 |
可点击返回“表1-2 IPv4 ACL配置步骤”。
在导航栏中选择“高级配置 > QoS设置 > ACL IPv4”,单击“高级配置”页签,进入IPv4 ACL高级规则的配置页面,如图1-3所示。
图1-3 ACL IPv4高级配置
IPv4 ACL高级规则的详细配置如表1-5所示。
表1-5 IPv4 ACL高级规则的详细配置
|
配置项 |
说明 |
|
|
访问控制列表 |
设置规则所属的高级IPv4 ACL 高级IPv4 ACL可以通过命令行来创建,详细配置请参见“ACL和QoS配置指导”中的“ACL”;此外,配置高级带宽限速和高级带宽保证时,系统自动生成高级IPv4 ACL,详细配置请参见“2.2.2 配置高级带宽限速”和“2.2.3 配置高级带宽保证” |
|
|
规则ID |
设置所配置规则的ID 如果不指定,系统将为该规则自动指定一个规则ID
如果指定的规则ID已经存在,则将该规则修改为新指定的配置 |
|
|
操作 |
设置对匹配该规则的IPv4报文所进行的操作 · 允许:表示允许匹配该规则的IPv4报文通过 · 禁止:表示禁止匹配该规则的IPv4报文通过 |
|
|
分片报文 |
设置该规则仅对非首片分片报文有效,对首片分片报文和非分片报文无效 如不设置,则规则对非分片报文和分片报文均有效 |
|
|
记录日志 |
设置对匹配该规则的IPv4报文记录日志 日志内容包括:ACL规则的序号、报文通过或被丢弃、IP承载的上层协议类型、源/目的地址、源/目的端口号、报文的数目 |
|
|
IP地址过滤 |
源IP地址 |
设置IPv4报文的源IP地址和通配符掩码。均要求为点分十进制格式 |
|
源地址通配符 |
||
|
目的IP地址 |
设置IPv4报文的目的IP地址和通配符掩码。均要求为点分十进制格式 |
|
|
目的地址通配符 |
||
|
协议 |
设置IP承载的协议类型 选择“1 ICMP”协议后,需配置ICMP类型;选择“6 TCP”或“17 UDP”协议后,可配置TCP/UDP类型 |
|
|
ICMP类型 |
选择ICMP |
设置规则的ICMP报文的消息类型和消息码信息 只有配置项“协议”选择为“1 ICMP”时,才可以配置 在“选择ICMP”下拉框中选择一种ICMP报文类型。如果选择“其他”,则下面的ICMP类型、ICMP码必选输入;否则,下面显示的ICMP类型、ICMP码为系统默认的标准值,不可修改 |
|
ICMP类型 |
||
|
ICMP码 |
||
|
TCP/ UDP端口 |
已连接 |
设置对TCP连接报文的处理规则 只有配置项“协议”选择为“6 TCP”时,才可以配置。 定义规则匹配带有ack或者rst标志的TCP连接报文 |
|
源 |
设置TCP/UDP报文的源端口信息和目的端口信息 只有配置项“协议”选择为“6 TCP”或“17 UDP”时,才可以配置。 分别在“源”和“目的”中的“操作”下拉框中选择端口操作符 · 选择“无限制”时,后面的两个“端口”配置项不可以配置 · 选择“在某个范围内”时,后面的两个“端口”配置项都要配置,共同确定一个端口号范围 · 选择其它选项时,后面的两个“端口”配置项中只有第一个要配置,第二个不可以配置 |
|
|
目的 |
||
|
优先级过滤 |
DSCP |
设置DSCP优先级 |
|
ToS |
设置ToS优先级 |
|
|
Precedence |
设置IP优先级 |
|
|
时间段 |
设置规则生效的时间段 |
|
可点击返回“表1-2 IPv4 ACL配置步骤”。
在导航栏中选择“高级配置 > QoS设置 > ACL IPv4”,单击“链路层配置”页签,进入IPv4 ACL链路层规则的配置页面,如图1-4所示。
图1-4 ACL IPv4链路层配置
IPv4 ACL链路层规则的详细配置如表1-6所示。
表1-6 IPv4 ACL链路层规则的详细配置
|
配置项 |
说明 |
|
|
访问控制列表 |
设置规则所属的链路层IPv4 ACL 链路层IPv4 ACL可以通过命令行来创建,详细配置请参见“ACL和QoS配置指导”中的“ACL” |
|
|
规则ID |
设置所配置规则的ID 如果不指定,系统将为该规则自动指定一个规则ID
如果指定的规则ID已经存在,则将该规则修改为新指定的配置 |
|
|
操作 |
设置对匹配该规则的IPv4报文所进行的操作 · 允许:表示允许匹配该规则的IPv4报文通过 · 禁止:表示禁止匹配该规则的IPv4报文通过 |
|
|
MAC地址过滤器 |
源MAC地址 |
设置IPv4报文的源MAC地址和掩码 |
|
源MAC掩码 |
||
|
目的MAC地址 |
设置IPv4报文的目的MAC地址和掩码 |
|
|
目的MAC掩码 |
||
|
COS(802.1p priority) |
设置规则的802.1p优先级 |
|
|
类型过滤器 |
LSAP类型 |
设置规则中LLC封装中的DSAP字段和SSAP字段 · LSAP类型:表示数据帧的封装格式 · LSAP掩码:表示类型掩码,用于指定屏蔽位 |
|
LSAP掩码 |
||
|
协议类型 |
设置规则中的链路层协议类型 · 协议类型:表示数据帧的类型,对应Ethernet_II类型和Ethernet_SNAP类型帧中的type-code域 · 协议掩码:表示类型掩码,用于指定屏蔽位 |
|
|
协议掩码 |
||
|
时间段 |
设置规则生效的时间段 |
|
可点击返回“表1-2 IPv4 ACL配置步骤”。
对ACL进行配置时,需要注意如下事项:
(1) 新创建或修改后的规则不能和已经存在的规则相同,否则会导致创建或修改不成功,系统会提示这条规则已经存在。
(2) 当ACL的匹配顺序为“用户配置”时,用户可以修改该ACL中的任何一条已经存在的规则,在修改ACL中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态;当ACL的匹配顺序为“自动”时,用户不能修改该ACL中的任何一条已经存在的规则,否则系统会提示错误信息。
· 配置网段带宽限速
· 配置高级带宽限速
· 配置高级带宽保证
QoS(Quality of Service,服务质量)用于评估服务方满足客户服务需求的能力。在Internet中,QoS所评估的就是网络转发分组的服务能力。
由于网络提供的服务是多样的,因此对QoS的评估可以基于不同方面。通常所说的QoS,是对分组转发过程中为延迟、抖动、丢包率等核心需求提供支持的服务能力的评估。
设备提供的QoS特性包括:网段带宽限速、高级带宽限速和高级带宽保证。
网段带宽限速可以根据报文源/目的IP地址对进入或流出设备的流量的规格进行监管,当流量符合规格时允许报文通过,当流量超出规格时将报文丢弃,以保护网络资源不受损害。
高级带宽限速与网段带宽限速相似,也可以在IP层实现流量监管的功能。所不同的是:
· 高级带宽限速还可以根据时间段、报文优先级、协议类型、端口号等进行流分类,区分服务更加细致。
· 高级带宽限速在流量符合规格允许报文通过的同时,还可以根据用户的设置来重新标记报文的IP优先级、DSCP(Differentiated Services Codepoint,差分服务编码点)优先级或802.1p优先级。
高级带宽保证可以完成以下两个功能:
· 接口带宽:采用令牌桶进行流量控制,在一个接口上限制发送报文(包括紧急报文)的总速率。网段带宽限速和高级带宽限速在IP层实现,可以对端口上不同的流分类进行限速,但是对于不经过IP层处理的报文不起作用。当用户只要求对通过该接口的所有报文限速时,使用接口带宽比较简单。
· 带宽保证:当接口产生拥塞时,采用CBQ(Class Based Queuing,基于类的队列)技术,对报文根据用户定义的匹配条件进行匹配,并使其进入相应的队列,在入队列之前进行带宽限制的检查。在报文出队列时,加权公平调度每个类对应的队列中的报文。
高级带宽保证只对接口发送的数据包有效。
在导航栏中选择“高级配置 > QoS设置 > 网段带宽限速”,进入如图2-1所示的页面。单击<新建>按钮,进入新建网段带宽限速的配置页面,如图2-2所示。
网段带宽限速的详细配置如表2-1所示。
|
配置项 |
说明 |
|
开始地址 |
设置要进行限速的网段地址范围 |
|
结束地址 |
|
|
接口 |
设置要应用网段带宽限速的接口 |
|
限速速率 |
设置允许的报文的平均速率 |
|
类型 |
设置限速的方式 · 共享:表示对网段内所有IP地址的速率之和进行限速,每个IP地址的速率按照流量大小的比例进行分配 · 独占:表示对网段内的每个IP地址的速率分别进行限速,每个IP地址的速率最多只能为指定的限速速率 |
|
方向 |
设置限速的方向 · 下载:表示对接口接收的数据包,基于报文的目的IP地址进行限速 · 上传:表示对接口发送的数据包,基于报文的源IP地址进行限速 |
在导航栏中选择“高级配置 > QoS设置 > 高级带宽限速”,进入如图2-3所示的页面。单击<新建>按钮,进入新建高级带宽限速的配置页面,如图2-4所示。
高级带宽限速的详细配置如表2-2所示。
|
配置项 |
说明 |
|
描述 |
设置高级带宽限速策略的描述信息 |
|
接口 |
设置要应用高级带宽限速的接口 |
|
方向 |
设置限速的方向 · 下载:表示对接口接收到的数据包进行限速 · 上传:表示对接口发送的数据包进行限速 |
|
限速速率 |
设置允许的报文的平均速率 |
|
标志类型 |
设置对符合规格允许通过的报文重新标记报文优先级的类型 · 无:表示不对报文优先级进行重新标记 · 802.1p:表示重新标记报文的802.1p优先级,并指定新的标记值 · IP优先级:表示重新标记报文的IP优先级,并指定新的标记值 · DSCP:表示重新标记报文的DSCP优先级,并指定新的标记值 |
|
IP地址/地址通配符 |
设置匹配报文IP地址/地址通配符的规则 可以向列表框中添加多个IP地址/地址通配符,通过<添加>、<删除>按钮进行设置 · 当限速方向为下载时,匹配报文的源IP地址 · 当限速方向为上传时,匹配报文的目的IP地址 |
|
IP优先级 |
设置匹配报文IP优先级的规则 每个高级带宽限速策略中最多可以配置8个不同的IP优先级值,多个不同的IP优先级值是或的关系。如果有多个IP优先级值相同,系统将默认为一个。每次配置后,IP优先级值将自动按照从小到大的顺序排序显示 |
|
DSCP |
设置匹配报文DSCP优先级的规则 每个高级带宽限速策略中最多可以配置8个不同的DSCP优先级值,多个不同的DSCP优先级值是或的关系。如果有多个DSCP优先级值相同,系统将默认为一个。每次配置后,DSCP优先级值将自动按照从小到大的顺序排序显示 |
|
入接口 |
设置匹配报文入接口的规则 |
|
时间段 |
设置高级带宽限速策略的生效时间段,需要设置起止时间和日期 |
|
协议名称 |
设置匹配协议类型的规则 可选的协议类型包括系统预定义的协议,以及通过P2P特征文件加载的协议。加载P2P特征文件在“安全配置 > 应用控制 > 加载应用程序”中配置 |
|
自定义协议类型 |
设置匹配自定义协议类型的规则 需要选择传输层的协议类型,并设置源端口范围和目的端口范围 |
|
源端口 |
|
|
目的端口 |
要在Tunnel接口、子接口,或是封装了PPPoE、PPPoA、PPPoEoA、PPPoFR协议的VT、Dialer接口上应用高级带宽保证功能时,必须配置接口带宽。
在导航栏中选择“高级配置 > QoS设置 > 高级带宽保证”,进入如图2-5所示的页面。在“接口带宽”中选择一个接口,可以显示和配置该接口发送报文的承诺信息速率。
接口带宽的详细配置如表2-3所示。
|
配置项 |
说明 |
|
接口名称 |
设置要配置的接口 |
|
接口带宽 |
设置接口允许的发送报文的平均速率 建议接口带宽的取值小于物理接口或逻辑链路的实际可用带宽
指定接口带宽后,CBQ中报文入队列带宽检查时使用的最大接口带宽为1000000kbps;如果不指定接口带宽,则最大接口带宽为: · 对于物理接口,其取值为物理接口实际的波特率或速率 · 对于T1/E1、MFR等通过绑定生成的逻辑串口,其取值为绑定通道的总带宽 · 对于VT、Dialer、BRI、PRI等模板类型的接口,取值为1000000kbps · 对于其他虚接口(如Tunnel接口),取值为0kbps |
在导航栏中选择“高级配置 > QoS设置 >高级带宽保证”,进入如图2-5所示的页面。“应用带宽”中显示的是所有带宽保证策略,单击<新建>按钮,进入新建带宽保证策略的配置页面,如图2-6所示。
带宽保证的详细配置如表2-4所示。
|
配置项 |
说明 |
|
描述 |
设置带宽保证策略的描述信息 |
|
队列类型 |
设置带宽保证的队列类型,包括: · EF(快速转发):可以为EF业务提供绝对优先的队列调度,确保实时数据的时延满足要求;同时对高优先级数据带宽的限制,避免出现低优先级队列可能得不到服务的情况 · AF(确保转发):可以为AF业务提供严格、精确的带宽保证,并且保证各类AF业务之间根据权值按一定的比例关系进行队列调度 |
|
接口 |
设置要应用带宽保证的接口 |
|
保证速率 |
设置队列带宽保证 · 对于EF队列,为设置最大带宽 · 对于AF队列,为设置最小可保证带宽
在同一接口下应用的带宽保证策略所指定的保证速率之和不能大于该接口的可用带宽 |
|
IP地址/地址通配符 |
设置匹配报文目的IP地址/地址通配符的规则 可以向列表框中添加多个IP地址/地址通配符,通过<添加>、<删除>按钮进行设置 |
|
IP优先级 |
设置匹配报文IP优先级的规则 每个带宽保证策略中最多可以配置8个不同的IP优先级值,多个不同的IP优先级值是或的关系。如果有多个IP优先级值相同,系统将默认为一个。每次配置后,IP优先级值将自动按照从小到大的顺序排序显示 |
|
DSCP |
设置匹配报文DSCP优先级的规则 每个带宽保证策略中最多可以配置8个不同的DSCP优先级值,多个不同的DSCP优先级值是或的关系。如果有多个DSCP优先级值相同,系统将默认为一个。每次配置后,DSCP优先级值将自动按照从小到大的顺序排序显示 |
|
入接口 |
设置匹配报文入接口的规则 |
|
时间段 |
设置带宽保证策略的生效时间段,需要设置起止时间和星期 |
|
协议名称 |
设置匹配协议类型的规则 可选的协议类型包括系统预定义的协议,以及通过P2P特征文件加载的协议。加载P2P特征文件在“安全配置 > 应用控制 > 加载应用程序”中配置 |
|
自定义协议类型 |
设置匹配自定义协议类型的规则 需要选择传输层的协议类型,并设置源端口范围和目的端口范围 |
|
源端口 |
|
|
目的端口 |
如图2-7所示,要求在设备Router上对接口Ethernet1/1发送的报文流进行限速:对Host A~Host Z(源地址属于IP地址段2.1.1.1~2.1.1.100)进行网段带宽限速,网段内每个IP地址独占5kbps的带宽。
# 配置网段带宽限速。
· 在导航栏中选择“高级配置 > QoS设置 > 网段带宽限速”,单击<新建>按钮,进行如下配置,如图2-8所示。
· 输入开始地址为“2.1.1.1”。
· 输入结束地址为“2.1.1.100”。
· 选择接口为“Ethernet1/1”。
· 输入限速速率为“5”每秒千比特。
· 选择类型为“独占”。
· 选择方向为“上传”。
· 单击<确定>按钮完成操作。
如图2-9所示,从Router C发出的数据流经过Router A和Router B到达Router D,Router C发出的数据流根据IP报文的DSCP域分为3类,要求配置高级带宽保证:
· 对于DSCP域为AF11和AF21(对应的DSCP优先级值分别为10、18)的流进行确保转发(AF),最小带宽为40kbps。
· 对于DSCP域为EF(对应的DSCP优先级值为46)的流进行加速转发(EF),最大带宽为240kbps。
在进行配置之前,应保证:
· Router C发出的流能够通过Router A和Router B可达Router D。
· 报文的DSCP域在进入Router A之前已经设置完毕。
在Router A上进行如下配置:
# 配置对于DSCP域为AF11和AF21的流进行确保转发的高级带宽保证。
· 在导航栏中选择“高级配置 > QoS设置 > 高级带宽保证”,单击<新建>按钮,进行如下配置,如图2-10所示。
· 输入描述为“test-af”。
· 选择队列类型为“AF(确保转发)”。
· 选择接口为“Ethernet1/1”。
· 输入保证速率为“40”每秒千比特。
· 输入DSCP为“10,18”。
· 单击<确定>按钮完成操作。
# 配置对于DSCP域为EF的流进行快速转发的高级带宽保证。
· 单击<新建>按钮,进行如下配置,如图2-11所示。
· 输入描述为“test-ef”。
· 选择队列类型为“EF(快速转发)”。
· 选择接口为“Ethernet1/1”。
· 输入保证速率为“240”每秒千比特。
· 输入DSCP为“46”。
· 单击<确定>按钮完成操作。
图2-12 ToS和DS域
如图2-12所示,IP报文头的ToS字段有8个bit,其中前3个bit表示的就是IP优先级,取值范围为0~7。RFC 2474中,重新定义了IP报文头部的ToS域,称之为DS(Differentiated Services,差分服务)域,其中DSCP优先级用该域的前6位(0~5位)表示,取值范围为0~63,后2位(6、7位)是保留位。
表2-5 IP优先级说明
|
IP优先级(十进制) |
IP优先级(二进制) |
关键字 |
|
0 |
000 |
routine |
|
1 |
001 |
priority |
|
2 |
010 |
immediate |
|
3 |
011 |
flash |
|
4 |
100 |
flash-override |
|
5 |
101 |
critical |
|
6 |
110 |
internet |
|
7 |
111 |
network |
表2-6 DSCP优先级说明
|
DSCP优先级(十进制) |
DSCP优先级(二进制) |
关键字 |
|
46 |
101110 |
ef |
|
10 |
001010 |
af11 |
|
12 |
001100 |
af12 |
|
14 |
001110 |
af13 |
|
18 |
010010 |
af21 |
|
20 |
010100 |
af22 |
|
22 |
010110 |
af23 |
|
26 |
011010 |
af31 |
|
28 |
011100 |
af32 |
|
30 |
011110 |
af33 |
|
34 |
100010 |
af41 |
|
36 |
100100 |
af42 |
|
38 |
100110 |
af43 |
|
8 |
001000 |
cs1 |
|
16 |
010000 |
cs2 |
|
24 |
011000 |
cs3 |
|
32 |
100000 |
cs4 |
|
40 |
101000 |
cs5 |
|
48 |
110000 |
cs6 |
|
56 |
111000 |
cs7 |
|
0 |
000000 |
be(default) |
802.1p优先级位于二层报文头部,适用于不需要分析三层报头,而需要在二层环境下保证QoS的场合。
图2-13 带有802.1Q标签头的以太网帧
如图2-13所示,4个字节的802.1Q标签头包含了2个字节的TPID(Tag Protocol Identifier,标签协议标识符)和2个字节的TCI(Tag Control Information,标签控制信息),TPID取值为0x8100。图2-14显示了802.1Q标签头的详细内容,Priority字段就是802.1p优先级。之所以称此优先级为802.1p优先级,是因为有关这些优先级的应用是在802.1p规范中被详细定义的。
图2-14 802.1Q标签头
表2-7 802.1p优先级说明
|
802.1p优先级(十进制) |
802.1p优先级(二进制) |
关键字 |
|
0 |
000 |
best-effort |
|
1 |
001 |
background |
|
2 |
010 |
spare |
|
3 |
011 |
excellent-effort |
|
4 |
100 |
controlled-load |
|
5 |
101 |
video |
|
6 |
110 |
voice |
|
7 |
111 |
network-management |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
