H3C SR8800万兆核心路由器
ACL和QoS配置指导
杭州华三通信技术有限公司
https://www.doczj.com/doc/dd12791623.html,
资料版本:5PW101-20100910
Copyright ? 2010 杭州华三通信技术有限公司及其许可者版权所有,保留一切权利。
未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。
H3C、、Aolynk、、H3Care、、TOP G、、IRF、NetPilot、Neocean、NeoVTL、SecPro、SecPoint、SecEngine、SecPath、Comware、Secware、Storware、NQA、VVG、V2G、V n G、PSPT、XGbus、N-Bus、TiGem、InnoVision、HUASAN、华三均为杭州华三通信技术有限公司的商标。对于本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
由于产品版本升级或其他原因,本手册内容有可能变更。H3C保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导,H3C尽全力在本手册中提供准确的信息,但是H3C并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。
前言
H3C SR8800万兆核心路由器配置指导共分为十三本手册,介绍了SR8800万兆核心路由器各软件特性的原理及其配置方法,包含原理简介、配置任务描述和配置举例。《ACL和QoS配置指导》主要介绍了ACL和QoS配置方法。通过ACL或其他匹配规则,您可以对网络中的流量进行分类,以实现多种基于数据类型的流量控制功能,合理分配有限的网络资源,提高网络使用效率,通过HQoS使设备具有内部资源的控制策略,既能够为高级用户提供质量保证,又能够从整体上节约网络构造成本。
前言部分包含如下内容:
z读者对象
z本书约定
z产品配套资料
z资料获取方式
z技术支持
z资料意见反馈
读者对象
本手册主要适用于如下工程师:
z网络规划人员
z现场技术支持与维护人员
z负责网络配置和维护的网络管理员
本书约定
1.命令行格式约定
格式意义
粗体命令行关键字(命令中保持不变、必须照输的部分)采用加粗字体表示。
斜体命令行参数(命令中必须由实际值进行替代的部分)采用斜体表示。
[ ] 表示用“[ ]”括起来的部分在命令配置时是可选的。
{ x | y | ... }表示从两个或多个选项中选取一个。
[ x | y | ... ]表示从两个或多个选项中选取一个或者不选。
{ x | y | ... } *表示从两个或多个选项中选取多个,最少选取一个,最多选取所有选项。
[ x | y | ... ] *表示从两个或多个选项中选取多个或者不选。
&<1-n>表示符号&前面的参数可以重复输入1~n次。
# 由“#”号开始的行表示为注释行。
2.图形界面格式约定
格 式 意 义
< > 带尖括号“< >”表示按钮名,如“单击<确定>按钮”。
[ ] 带方括号“[ ]”表示窗口名、菜单名和数据表,如“弹出[新建用户]窗口”。
/
多级菜单用“/”隔开。如[文件/新建/文件夹]多级菜单表示[文件]菜单下的[新建]子菜单下的[文件夹]菜单项。
3.各类标志
本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方,这些标志的意义如下:
4.图标约定
本书使用的图标及其含义如下:
该图标及其相关描述文字代表一般网络设备,如路由器、交换机、防火墙等。
该图标及其相关描述文字代表一般意义下的路由器,以及其他运行了路由协议的设备。
该图标及其相关描述文字代表二、三层以太网交换机,以及运行了二层协议的设备。
产品配套资料
H3C SR8800万兆核心路由器的配套资料包括如下部分:
大类
资料名称
内容介绍
产品彩页
帮助您了解产品的主要规格参数及亮点
技术白皮书 帮助您了解产品和特性功能,对于特色及复杂技术从细节上进行介绍
产品知识介绍
单板datasheet
帮助您了解单板属性、特点、支持的标准等
安全兼容性手册 列出产品的兼容性声明,并对兼容性和安全的细节进行说明 安装手册
帮助您详细了解设备硬件规格和安装方法,指导您对设备进行安装硬件描述与安装
单板手册
帮助您详细了解单板的硬件规格
大类资料名称内容介绍H3C N68机柜安装及改制说
明书
指导您如何安装N68机柜及改制N68机柜
H3C 可插拔SFP[SFP+][XFP]模块安装指南帮助您掌握SFP/SFP+/XFP模块的正确安装方法,避免因操作不当而造成器件损坏
H3C 高端网络产品可插拔模
块手册
帮助您了解H3C 高端网络产品支持的可插拔模块类型、外观和规格安装视频帮助您详细了解设备安装方法,指导您对设备进行安装
配置指导帮助您掌握设备软件功能的配置方法及配置步骤
命令参考详细介绍设备的命令,相当于命令字典,方便您查阅各个命令的功能
版本说明书帮助您了解产品版本的相关信息(包括:版本配套说明、兼容性说明、特性变更说明、技术支持信息)及软件升级方法
业务配置
错误码查询手册提供QoS中各个错误码对应的具体错误说明,供您定位问题时查询参考
资料获取方式
您可以通过H3C网站(https://www.doczj.com/doc/dd12791623.html,)获取最新的产品资料:
H3C网站与产品资料相关的主要栏目介绍如下:
z[服务支持/文档中心]:可以获取硬件安装类、软件升级类、配置类或维护类等产品资料。
z[产品技术]:可以获取产品介绍和技术介绍的文档,包括产品相关介绍、技术介绍、技术白皮书等。
z[解决方案]:可以获取解决方案类资料。
z[服务支持/软件下载]:可以获取与软件版本配套的资料。
技术支持
用户支持邮箱:customer_service@https://www.doczj.com/doc/dd12791623.html,
技术支持热线电话:400-810-0504(手机、固话均可拨打)
网址:https://www.doczj.com/doc/dd12791623.html,
资料意见反馈
如果您在使用过程中发现产品资料的任何问题,可以通过以下方式反馈:
E-mail:info@https://www.doczj.com/doc/dd12791623.html,
感谢您的反馈,让我们做得更好!
目录
1 ACL简介............................................................................................................................................1-1
1.1 IPv4 ACL简介....................................................................................................................................1-1
1.1.1 IPv4 ACL分类.........................................................................................................................1-1
1.1.2 IPv4 ACL命名.........................................................................................................................1-1
1.1.3 IPv4 ACL匹配顺序..................................................................................................................1-2
1.1.4 IPv4 ACL步长.........................................................................................................................1-3
1.1.5 IPv4 ACL生效时间段..............................................................................................................1-3
1.1.6 IPv4 ACL对分片报文的处理...................................................................................................1-3
1.2 IPv6 ACL简介....................................................................................................................................1-3
1.2.1 IPv6 ACL分类.........................................................................................................................1-3
1.2.2 IPv6 ACL命名.........................................................................................................................1-4
1.2.3 IPv6 ACL匹配顺序..................................................................................................................1-4
1.2.4 IPv6 ACL步长.........................................................................................................................1-5
1.2.5 IPv6 ACL生效时间段..............................................................................................................1-5
1.3 流模板简介........................................................................................................................................1-5
2 IPv4 ACL配置....................................................................................................................................2-1
2.1 配置时间段........................................................................................................................................2-1
2.2 配置基本IPv4 ACL.............................................................................................................................2-1
2.2.1 配置准备.................................................................................................................................2-2
2.2.2 配置基本IPv4 ACL..................................................................................................................2-2
2.3 配置高级IPv4 ACL.............................................................................................................................2-3
2.3.1 配置准备.................................................................................................................................2-3
2.3.2 配置高级IPv4 ACL..................................................................................................................2-3
2.4 配置二层ACL.....................................................................................................................................2-4
2.4.1 配置准备.................................................................................................................................2-4
2.4.2 配置二层ACL..........................................................................................................................2-4
2.5 拷贝IPv4 ACL....................................................................................................................................2-5
2.5.1 配置准备.................................................................................................................................2-5
2.5.2 拷贝IPv4 ACL.........................................................................................................................2-5
2.6 IPv4 ACL显示和维护.........................................................................................................................2-6
2.7 IPv4 ACL典型配置举例.....................................................................................................................2-6
2.7.1 组网需求.................................................................................................................................2-6
2.7.2 组网图.....................................................................................................................................2-7
2.7.3 配置步骤.................................................................................................................................2-7
3 IPv6 ACL配置....................................................................................................................................3-1
3.1 配置时间段........................................................................................................................................3-1
3.2 配置基本IPv6 ACL.............................................................................................................................3-1
3.2.1 配置基本IPv6 ACL..................................................................................................................3-1
3.3 配置高级IPv6 ACL.............................................................................................................................3-2
3.3.1 配置准备.................................................................................................................................3-2
3.3.2 配置高级IPv6 ACL..................................................................................................................3-2
3.4 拷贝IPv6 ACL....................................................................................................................................3-3
3.4.1 配置准备.................................................................................................................................3-3
3.4.2 拷贝IPv6 ACL.........................................................................................................................3-3
3.5 IPv6 ACL显示和维护.........................................................................................................................3-4
3.6 IPv6 ACL典型配置举例.....................................................................................................................3-4
3.6.1 组网需求.................................................................................................................................3-4
3.6.2 配置步骤.................................................................................................................................3-4
4 流模板配置........................................................................................................................................4-1
4.1 配置流模板........................................................................................................................................4-1
4.2 流模板显示和维护.............................................................................................................................4-1
4.3 流模板典型配置举例..........................................................................................................................4-2
5 ACL key的长度模式配置....................................................................................................................5-1
5.1 配置ACL key的长度模式...................................................................................................................5-1
5.2 ACL key长度模式的显示...................................................................................................................5-1
5.3 ACL key长度模式的配置举例............................................................................................................5-1
6 QoS简介............................................................................................................................................6-1
6.1 概述...................................................................................................................................................6-1
6.2 传统的分组转发业务..........................................................................................................................6-1
6.3 新业务对QoS的新需求......................................................................................................................6-1
6.4 拥塞的产生、影响和对策..................................................................................................................6-2
6.4.1 拥塞的产生..............................................................................................................................6-2
6.4.2 拥塞的影响..............................................................................................................................6-2
6.4.3 解决拥塞的对策......................................................................................................................6-2
6.5 几种主要QoS技术.............................................................................................................................6-3
7 流量整形配置.....................................................................................................................................7-1
7.1 流量整形简介.....................................................................................................................................7-1
7.2 流量评估与令牌桶.............................................................................................................................7-1
7.3 流量整形............................................................................................................................................7-3
7.3.1 流量整形配置..........................................................................................................................7-3
7.3.2 流量整形显示和维护...............................................................................................................7-5
8 QoS策略配置.....................................................................................................................................8-1
8.1 QoS策略简介.....................................................................................................................................8-1
8.2 流分类简介........................................................................................................................................8-1
8.2.1 流分类.....................................................................................................................................8-1
8.2.2 优先级.....................................................................................................................................8-2
8.3 配置QoS策略.....................................................................................................................................8-4
8.3.1 定义类.....................................................................................................................................8-4
8.3.2 定义流行为..............................................................................................................................8-5
8.3.3 定义策略.................................................................................................................................8-6
8.3.4 应用QoS策略..........................................................................................................................8-6
8.4 QoS策略配置举例.............................................................................................................................8-8
8.5 QoS策略显示和维护..........................................................................................................................8-8
9 硬件实现拥塞管理配置.......................................................................................................................9-1
9.1 拥塞管理简介.....................................................................................................................................9-1
9.1.1 WFQ队列................................................................................................................................9-1
9.1.2 CBQ(Class Based Queue,基于类的队列).......................................................................9-2
9.2 配置WFQ队列...................................................................................................................................9-2
9.2.1 基本WFQ队列配置过程..........................................................................................................9-3
9.2.2 配置举例.................................................................................................................................9-3
9.3 基于类的队列的配置..........................................................................................................................9-3
9.3.1 配置概述.................................................................................................................................9-3
9.3.2 定义类.....................................................................................................................................9-3
9.3.3 定义流行为..............................................................................................................................9-4
9.3.4 定义策略.................................................................................................................................9-6
9.3.5 应用策略.................................................................................................................................9-6
9.3.6 基于类的队列的显示和维护....................................................................................................9-7
9.3.7 基于类的队列典型配置举例....................................................................................................9-7
10 优先级映射....................................................................................................................................10-1
10.1 优先级映射简介.............................................................................................................................10-1
10.2 优先级映射表配置.........................................................................................................................10-2
10.2.1 配置准备.............................................................................................................................10-2
10.2.2 配置过程.............................................................................................................................10-2
10.2.3 配置举例.............................................................................................................................10-3
10.3 端口优先级配置.............................................................................................................................10-3
10.3.1 配置准备.............................................................................................................................10-4
10.3.2 配置过程.............................................................................................................................10-4
10.4 端口优先级信任模式配置..............................................................................................................10-4
10.4.1 配置过程.............................................................................................................................10-4
10.4.2 配置举例.............................................................................................................................10-5
10.5 优先级映射显示和维护..................................................................................................................10-5
10.6 优先级映射典型配置举例..............................................................................................................10-5
11 拥塞避免........................................................................................................................................11-1
11.1 拥塞避免简介.................................................................................................................................11-1
11.2 WRED配置的说明.........................................................................................................................11-2
11.2.1 WRED的配置方式...............................................................................................................11-2
11.2.2 WRED的参数说明...............................................................................................................11-2
11.3 以WRED表配置方式配置WRED...................................................................................................11-3
11.3.1 基于队列的WRED表的配置和应用过程..............................................................................11-3
11.4 WRED显示和维护.........................................................................................................................11-3
11.5 WRED典型配置举例.....................................................................................................................11-3
12 聚合CAR配置................................................................................................................................12-1
12.1 聚合CAR简介................................................................................................................................12-1
12.2 在流行为中引用聚合CAR..............................................................................................................12-1
12.2.1 配置准备.............................................................................................................................12-1
12.2.2 配置过程.............................................................................................................................12-1
12.2.3 配置举例.............................................................................................................................12-1
12.3 聚合CAR显示和维护.....................................................................................................................12-2
13 队列调度策略配置..........................................................................................................................13-1
13.1 队列调度策略简介.........................................................................................................................13-1
13.2 配置队列调度策略.........................................................................................................................13-1
13.3 队列调度策略显示和维护..............................................................................................................13-2
13.4 队列调度策略典型配置举例...........................................................................................................13-2
14 报文统计和端口队列统计配置........................................................................................................14-1
14.1 报文统计简介.................................................................................................................................14-1
14.2 端口队列统计.................................................................................................................................14-1
14.3 配置报文统计.................................................................................................................................14-1
14.4 报文统计和端口队列统计显示和维护............................................................................................14-1
15 HQoS配置.....................................................................................................................................15-1
15.1 HQoS简介.....................................................................................................................................15-1
15.1.1 HQoS的基本原理................................................................................................................15-1
15.1.2 HQoS的基本概念................................................................................................................15-2
15.2 HQoS配置任务简介.......................................................................................................................15-3
15.3 HQoS基本配置..............................................................................................................................15-4
15.3.1 配置转发类..........................................................................................................................15-4
15.3.2 配置丢弃策略......................................................................................................................15-5
15.3.3 配置转发策略......................................................................................................................15-6
15.3.4 配置转发组..........................................................................................................................15-7
15.3.5 配置调度策略......................................................................................................................15-9
15.3.6 转发组的实例化................................................................................................................15-10
15.3.7 在接口上应用调度策略.....................................................................................................15-12 15.4 转发组和调度策略的拷贝............................................................................................................15-13
15.4.1 拷贝转发组........................................................................................................................15-13
15.4.2 拷贝调度策略....................................................................................................................15-13 15.5 HQoS显示和维护........................................................................................................................15-14 15.6 HQoS典型配置举例.....................................................................................................................15-14
15.6.1 HQoS配置举例一..............................................................................................................15-14
15.6.2 HQoS配置举例二..............................................................................................................15-20
1 ACL简介
z本文中的“SPC单板”指的是单板丝印以“SPC”开头(如SPC-GT48L)的接口板,“SPE 单板”指的是单板丝印以“SPE”开头(如SPE-1020-E)的业务处理板。
z本章所介绍的ACL包括IPv4 ACL和IPv6 ACL。
ACL(Access Control List,访问控制列表)是用来实现流识别功能的。网络设备为了过滤报文,需要配置一系列的匹配条件对报文进行分类,这些条件可以是报文的源地址、目的地址、端口号等。
当设备的端口接收到报文后,即根据当前端口上应用的ACL规则对报文的字段进行分析,在识别出特定的报文之后,根据预先设定的策略允许或禁止该报文通过。
由ACL定义的报文匹配规则,可以被其它需要对流量进行区分的场合引用,如包过滤、QoS中流分类规则的定义等。
1.1 IPv4 ACL简介
1.1.1 IPv4 ACL分类
IPv4 ACL根据ACL序号来区分不同的ACL,可以分为三种类型,如表1-1所示。
表1-1IPv4 ACL分类
IPv4 ACL类型ACL序号范围区分报文的依据
基本IPv4 ACL 2000~2999 只根据报文的源IP地址信息制定匹配规则
高级IPv4 ACL 3000~3999 根据报文的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议的特性等三、四层信息制定匹配规则
二层ACL 4000~4999根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定匹配规则
目前,通过QoS引用的二层ACL无法匹配IPv6报文。
1.1.2 IPv4 ACL命名
用户在创建IPv4 ACL时,可以为ACL指定一个名称。每个IPv4 ACL只能有一个名称。通过ACL 命名,可以使用户通过名称唯一地确定一条IPv4 ACL,并对其进行相应的操作。
在创建ACL时,用户可以选择是否配置名称。ACL创建后,不允许用户修改或者删除ACL名称,也不允许为未命名的ACL添加名称。
IPv4 ACL的名称对于IPv4 ACL全局唯一,但允许与IPv6 ACL使用相同的名称。
1.1.3 IPv4 ACL匹配顺序
一个ACL中可以包含多个规则,而每个规则都指定不同的报文匹配选项,这些规则可能存在重复或矛盾的地方,在将一个报文和ACL的规则进行匹配的时候,到底采用哪些规则呢?就需要确定规则的匹配顺序。
IPv4 ACL支持两种匹配顺序:
z配置顺序:按照用户配置规则的先后顺序进行规则匹配,本质上是系统按照规则编号由小到大进行匹配,后插入的规则有可能先匹配。
z自动排序:按照“深度优先”的顺序进行规则匹配。
1. 基本IPv4 ACL的“深度优先”顺序判断原则如下
(1) 先看规则中是否带VPN实例,带VPN实例的规则优先;
(2) 再比较源IP地址范围,源IP地址范围小(即通配符掩码中“0”位的数量多)的规则优先;
(3) 如果源IP地址范围相同,则按照配置顺序,即配置在前的优先。
通配符掩码(又称反向掩码)以点分十进制表示,并用二进制的“0”表示“匹配”,“1”表示“不关心”,这与子网掩码的表示方法恰好相反,譬如子网掩码255.255.255.0对应的通配符掩码为
0.0.0.255;此外,通配符掩码中的“0”或“1”可以是不连续的,这样可以更加灵活地进行匹配,
譬如0.255.0.255就是一个合法的通配符掩码通配符掩码又称反向掩码,以点分十进制表示,并用二进制的“0”表示“匹配”,“1”表示“不关心”,这恰好与子网掩码的表示方法相反。譬如,C类子网192.168.1.0对应的子网掩码为255.255.255.0,而通配符掩码则为0.0.0.255。
2. 高级IPv4 ACL的“深度优先”顺序判断原则如下
(1) 先看规则中是否带VPN实例,带VPN实例的规则优先;
(2) 再比较协议范围,指定了IP协议承载的协议类型的规则优先;
(3) 如果协议范围相同,则比较源IP地址范围,源IP地址范围小即通配符掩码中“0”位的数量
多)的规则优先;
(4) 如果协议范围、源IP地址范围相同,则比较目的IP地址范围,目的IP地址范围小即通配符
掩码中“0”位的数量多)的规则优先;
(5) 如果协议范围、源IP地址范围、目的IP地址范围相同,则比较四层端口号(TCP/UDP端口
号)范围,四层端口号范围小的规则优先;
(6) 如果上述范围都相同,则按照配置顺序,即配置在前的优先。
3. 二层ACL的“深度优先”顺序判断原则如下
(1) 先比较源MAC地址范围,源MAC地址范围小(即掩码中“1”位的数量多)的规则优先;
(2) 如果源MAC地址范围相同,则比较目的MAC地址范围,目的MAC地址范围小(即掩码中
(3) 如果源MAC地址范围、目的MAC地址范围相同,则按照配置顺序,即配置在前的优先。
在报文匹配规则时,会按照匹配顺序去匹配定义的规则,一旦有一条规则被匹配,报文就不再继续匹配其它规则了,设备将对该报文执行第一次匹配的规则指定的动作。
1.1.4 IPv4 ACL步长
1. 步长的含义
步长的含义是:设备自动为ACL规则分配编号的时候,每个相邻规则编号之间的差值。例如,如果将步长设定为5,规则编号分配是按照0、5、10、15……这样的规律分配的。缺省情况下,步长为5。
当步长改变后,ACL中原有规则的编号都会自动从0开始重新排列。例如,原有规则依次为5、10、
13、15、20,当通过命令把步长改为2后,这些规则的编号将依次变为0、2、4、6、8。
当使用命令将步长恢复为缺省值后,设备将立刻按照缺省步长调整ACL中现有规则的编号。例如:ACL 3001中原有步长为2,规则依次为0、2、4、6,当通过命令将步长恢复为缺省值5之后,这些规则的编号将依次变为0、5、10、15。
2. 步长的作用
使用步长设定的好处是用户可以方便地在规则之间插入新的规则。例如配置好了4个规则,规则编号为:0、5、10、15。此时如果用户希望能在第一条规则之后插入一条规则,则可以使用命令在0和5之间插入一条编号为1的规则。
另外,在定义一条ACL规则的时候,用户可以不指定规则编号,这时,系统会从0开始,按照步长,自动为规则分配一个大于现有最大编号的最小编号。假设现有规则的最大编号是28,步长是5,那么系统分配给新定义的规则的编号将是30。
1.1.5 IPv4 ACL生效时间段
时间段用于描述一个特殊的时间范围。用户可能有这样的需求:一些ACL规则需要在某个或某些特定时间内生效,而在其它时间段则不利用它们进行报文过滤,即通常所说的按时间段过滤。这时,用户就可以先配置一个或多个时间段,然后在相应的规则下通过时间段名称引用该时间段,这条规则只在该指定的时间段内生效,从而实现基于时间段的ACL过滤。
如果规则引用的时间段未配置,则系统给出提示信息,并允许这样的规则创建成功,但是规则不能立即生效,直到用户配置了引用的时间段,并且系统时间在指定时间段范围内ACL规则才能生效。
1.1.6 IPv4 ACL对分片报文的处理
传统的报文过滤并不处理所有IP报文分片,而是只对首片(第一片)分片报文进行匹配处理,而对后续分片一律放行。这样,网络攻击者可能构造后续的分片报文进行流量攻击,就带来了安全隐患。
目前,设备对所有的分片报文都进行匹配处理(首片报文会当成非分片报文来进行匹配),从而降低了安全隐患。
1.2 IPv6 ACL简介
1.2.1 IPv6 ACL分类
IPv6 ACL根据ACL序号来区分不同的ACL,可以分为两种类型,如表1-2所示。
表1-2IPv6 ACL分类
IPv6 ACL类型ACL序号范围区分报文的依据基本IPv6 ACL 2000~2999 只根据源IPv6地址信息制定匹配规则
高级IPv6 ACL 3000~3999 根据报文的源IPv6地址信息、目的IPv6地址信息、IPv6承载的协议类型、协议的特性等三层、四层信息来制定匹配规则
1.2.2 IPv6 ACL命名
用户在创建IPv6 ACL时,可以为ACL指定一个名称。每个IPv6 ACL最多只能有一个名称。命名的ACL使用户可以通过名称唯一地确定一个IPv6 ACL,并对其进行相应的操作。
在创建ACL时,用户可以选择是否配置名称。ACL创建后,不允许用户修改或者删除ACL名称,也不允许为未命名的ACL添加名称。
IPv6 ACL的名称对于IPv6 ACL全局唯一,但允许与IPv4 ACL使用相同的名称。
1.2.3 IPv6 ACL匹配顺序
一个ACL中可以包含多个规则,而每个规则都指定不同的报文匹配选项,这些规则可能存在重复或矛盾的地方,在将一个报文和ACL的规则进行匹配的时候,到底采用哪些规则呢?就需要确定规则的匹配顺序。
IPv6 ACL支持两种匹配顺序:
z配置顺序:按照用户配置规则的先后顺序进行规则匹配,本质上是系统按照规则编号由小到大进行匹配,后插入的规则有可能先匹配。
z自动排序:按照“深度优先”的顺序进行规则匹配。
1. 基本IPv6 ACL的“深度优先”顺序判断原则如下
(1) 先比较源IPv6地址范围,源IPv6地址范围小(前缀长)的规则优先;
(2) 如果源IPv6地址范围相同,则按照配置顺序,即配置在前的优先。
2. 高级IPv6 ACL的“深度优先”顺序判断原则如下
(1) 先比较协议范围,指定了IPv6协议承载的协议类型的规则优先;
(2) 如果协议范围相同,则比较源IPv6地址范围,源IPv6地址范围小(前缀长)的规则优先;
(3) 如果协议范围、源IPv6地址范围相同,则比较目的IPv6地址范围,目的IPv6地址范围小(前
缀长)的规则优先;
(4) 如果协议范围、源IPv6地址范围、目的IPv6地址范围相同,则比较四层端口号(TCP/UDP
端口号)范围,四层端口号范围小的规则优先;
(5) 如果上述范围都相同,则按照配置顺序,即配置在前的优先。
在报文匹配规则时,会按照匹配顺序去匹配定义的规则,一旦有一条规则被匹配,报文就不再继续匹配其它规则了,设备将对该报文执行第一次匹配的规则指定的动作。
1.2.4 IPv6 ACL步长
关于步长的介绍请参见“1.1.4 IPv4 ACL步长”。
1.2.5 IPv6 ACL生效时间段
关于生效时间段的介绍请参见“1.1.5 IPv4 ACL生效时间段”。
1.3 流模板简介
流模板的主要功能是对硬件下发的ACL规则中所能包含的信息进行限制。在接口下发的ACL规则中包含的信息必须是该接口下发流模板中定义信息的子集。比如,流模板定义了源IP地址、目的IP地址、源TCP端口、目的TCP端口等限制,只有在上述范围内的ACL规则可以正确下发到硬件中,用于包过滤、QoS等功能;否则ACL规则将不能下发到硬件中,导致包过滤、QoS等功能不能引用此ACL规则。
设备支持的流模板包括缺省流模板和用户自定义流模板。初始状态下,接口下默认配置缺省流模板。
流模板在全局配置,在接口应用。
流模板只对基于硬件处理的ACL有效,对基于软件处理的ACL不生效。
2 IPv4 ACL配置
2.1 配置时间段
对时间段的配置有如下两种情况:
z配置周期时间段:采用每周周几的形式;
z配置绝对时间段:采用从起始时间到结束时间的形式。
表2-1配置时间段
操作命令说明进入系统视图system-view-
创建一个时间段time-range time-range-name { start-time to
end-time days [ from time1 date1 ] [ to time2
date2 ] | from time1 date1 [ to time2 date2 ] | to
time2 date2 }
必选
显示时间段的配置和状态display time-range{ time-range-name| all}
可选
display命令可以在任意视图下执
行
需要注意的是:
z如果用户通过命令time-range time-range-name start-time to end-time days定义了一个周期时间段,则只有系统时钟在该周期时间段内,该时间段才进入激活状态。
z如果用户通过命令time-range time-range-name { from time1 date1 [ to time2 date2 ] | to time2 date2 }定义了一个绝对时间段,则只有系统时钟在该绝对时间段内,该时间段才进入激
活状态。
z如果用户通过命令time-range time-range-name start-time to end-time days { from time1 date1 [ to time2 date2 ] | to time2 date2 }同时定义了绝对时间段和周期时间段,则只有系统
时钟同时满足绝对时间段和周期时间段的定义时,该时间段才进入激活状态。例如,一个时
间段定义了绝对时间段:从2004年1月1日0点0分到2004年12月31日24点0分,同
时定义了周期时间段:每周三的12:00到14:00。该时间段只有在2004年内每周三的12:00
到14:00才进入激活状态。
z在同一个名字下可以配置多个时间段,来共同描述一个特殊时间,通过名字来引用该时间。
在同一个名字下配置的多个周期时间段之间是“或”的关系,多个绝对时间段之间是“或”
的关系,而周期时间段和绝对时间段之间是“与”的关系。
z如果不配置开始日期,时间段就是从系统可表示的最早时间(即1970年1月1日0点0分)起到结束日期为止。如果不配置结束日期,时间段就是从配置生效之日起到系统可以表示的
最晚时间(即2100年12月31日24点0分)为止。
z最多可以定义256个时间段。
2.2 配置基本IPv4 ACL
基本IPv4 ACL只根据源IP地址信息制定匹配规则,对报文进行相应的分析处理。
基本IPv4 ACL的序号取值范围为2000~2999。
2.2.1 配置准备
如果要配置带有时间段参数的规则,则需要定义相应的时间段。
2.2.2 配置基本IPv4 ACL
表2-2配置基本IPv4 ACL
操作命令说明进入系统视图system-view-
创建基本IPv4 ACL并进入基本IPv4 ACL视图acl number acl-number [ name
acl-name ] [ match-order { auto |
config } ]
必选
缺省情况下,匹配顺序为
config
如果用户在创建IPv4 ACL时指定了名称,则之
后可以通过acl name acl-name命令进入指定
名称的IPv4 ACL视图
定义规则
rule [ rule-id ] { deny | permit }
[ fragment | logging | source
{ sour-addr sour-wildcard | any } |
time-range time-range-name |
vpn-instance vpn-instance-name ] *
必选
可以重复本步骤创建多条规则
logging参数需要使用该ACL的模块支持日志
记录功能才能生效
定义步长step step-value
可选
缺省情况下,步长为5
定义基本IPv4 ACL的
描述信息
description text
可选
缺省情况下,基本IPv4 ACL没有描述信息
定义规则的描述信息rule rule-id comment text
可选
缺省情况下,规则没有描述信息
需要注意的是:
z当ACL的匹配顺序为config时,用户可以修改该ACL中的任何一条已经存在的规则,在修改ACL中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态;当ACL的匹配顺序为auto时,用户不能修改该ACL中的任何一条已经存在的规则,否则系统会提示错误信息。
z新创建或修改后的规则不能和已经存在的规则内容相同,否则会导致创建或修改不成功,系统会提示该规则已经存在。
z当ACL的匹配顺序为auto时,新创建的规则将按照“深度优先”的原则插入到已有的规则中,但是所有规则对应的编号不会改变。
z用户可以通过命令acl number acl-number [ name acl-name ] match-order { auto | config }修改IPv4 ACL的匹配顺序为auto或者config,但必须在IPv4 ACL中没有规则的时候修改,对已经有规则的IPv4 ACL是无法修改其匹配顺序的。
z在使用rule comment命令为规则定义描述信息时,该规则必须存在。
2.3 配置高级IPv4 ACL
高级IPv4 ACL可以使用报文的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议的特性(例如TCP或UDP的源端口、目的端口,TCP标记,ICMP协议的消息类型、消息码等)等信息来制定匹配规则。
高级IPv4 ACL支持对三种报文优先级的分析处理:
z ToS(Type of Service,服务类型)优先级;
z IP优先级;
z DSCP(Differentiated Services Codepoint,差分服务编码点)优先级。
用户可以利用高级IPv4 ACL定义比基本IPv4 ACL更准确、更丰富、更灵活的匹配规则。
高级IPv4 ACL的序号取值范围为3000~3999。
2.3.1 配置准备
如果要配置带有时间段参数的规则,则需要定义相应的时间段。
2.3.2 配置高级IPv4 ACL
表2-3配置高级IPv4 ACL
操作命令说明进入系统视图system-view-
创建高级IPv4 ACL并进入高级IPv4 ACL视图acl number acl-number [ name
acl-name ][ match-order { auto |
config } ]
必选
缺省情况下,匹配顺序为config
如果用户在创建IPv4 ACL时指定了名称,
则之后可以通过acl name acl-name命令
进入指定名称的IPv4 ACL视图
定义规则rule [ rule-id ] { deny | permit } protocol
[ { { ack ack-value | fin fin-value | psh
psh-value | rst rst-value | syn
syn-value | urg urg-value } * |
established } | destination
{ dest-addr dest-wildcard | any } |
destination-port operator port1
[ port2 ] | dscp dscp | established |
fragment | icmp-type { icmp-type
icmp-code | icmp-message } | logging
| precedence precedence | reflective |
source{ sour-addr sour-wildcard |
any } | source-port operator port1
[ port2 ] | time-range time-range-name
| tos tos | vpn-instance
vpn-instance-name ] *
必选
可以重复本步骤创建多条规则
logging参数需要使用该ACL的模块支持
日志记录功能才能生效
定义步长step step-value 可选
缺省情况下,步长为5
定义高级IPv4 ACL的描述信息description text
可选
缺省情况下,高级IPv4 ACL没有描述信息
定义规则的描述信息rule rule-id comment text 可选
缺省情况下,规则没有描述信息
需要注意的是:
z当ACL的匹配顺序为config时,用户可以修改该ACL中的任何一条已经存在的规则,在修改ACL中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态;当ACL的匹配顺
序为auto时,用户不能修改该ACL中的任何一条已经存在的规则,否则系统会提示错误信
息。
z新创建或修改后的规则不能和已经存在的规则内容相同,否则会导致创建或修改不成功,系统会提示该规则已经存在。
z当ACL的匹配顺序为auto时,新创建的规则将按照“深度优先”的原则插入到已有的规则中,但是所有规则对应的编号不会改变。
z用户可以通过命令acl number acl-number [ name acl-name ] match-order { auto | config } 修改IPv4 ACL的匹配顺序为auto或者config,但必须在IPv4 ACL中没有规则的时候修改,
对已经有规则的IPv4 ACL是无法修改其匹配顺序的。
z在使用rule comment命令为规则定义描述信息时,该规则必须存在。
2.4 配置二层ACL
二层ACL根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定匹配规则,对报文进行相应的分析处理。
二层ACL的序号取值范围为4000~4999。
2.4.1 配置准备
如果要配置带有时间段参数的规则,则需要定义相应的时间段。
2.4.2 配置二层ACL
表2-4配置二层ACL
操作命令说明进入系统视图system-view-
创建二层ACL并进入二层ACL视图acl number acl-number [ name acl-name ]
[ match-order { auto | config } ]
必选
缺省情况下,匹配顺序为config
如果用户在创建IPv4 ACL时指定了名
称,则之后可以通过acl name acl-name
命令进入指定名称的IPv4 ACL视图
定义规则rule [ rule-id ] { deny | permit } [ cos vlan-pri
| dest-mac dest-addr dest-mask | { lsap
lsap-type lsap-type-mask | type
protocol-type protocol-type-mask } |
source-mac sour-addr source-mask |
time-range time-range-name ] *
必选
可以重复本步骤创建多条规则
定义步长step step-value
可选
定义二层ACL的描述信息description text
可选
缺省情况下,二层ACL没有描述信息
定义规则的描述信息rule rule-id comment text 可选
缺省情况下,规则没有描述信息
需要注意的是:
z当ACL的匹配顺序为config时,用户可以修改该ACL中的任何一条已经存在的规则,在修改ACL中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态;当ACL的匹配顺
序为auto时,用户不能修改该ACL中的任何一条已经存在的规则,否则系统会提示错误信
息。
z新创建或修改后的规则不能和已经存在的规则内容相同,否则会导致创建或修改不成功,系统会提示该规则已经存在。
z当ACL的匹配顺序为auto时,新创建的规则将按照“深度优先”的原则插入到已有的规则中,但是所有规则对应的编号不会改变。
z用户可以通过命令acl number acl-number [ name acl-name ] match-order { auto | config }修改IPv4 ACL的匹配顺序为auto或者config,但必须在IPv4 ACL中没有规则的时候修改,
对已经有规则的IPv4 ACL是无法修改其匹配顺序的。
z在使用rule comment命令为规则定义描述信息时,该规则必须存在。
2.5 拷贝IPv4 ACL
拷贝IPv4 ACL功能使用户可以通过拷贝一个已经存在的IPv4 ACL,生成一个新的同类型的IPv4 ACL。生成的新的IPv4 ACL的匹配顺序、包含的匹配规则、步长以及描述信息都和源IPv4 ACL 相同。
2.5.1 配置准备
源IPv4 ACL必须存在,目的IPv4 ACL必须不存在。
2.5.2 拷贝IPv4 ACL
表2-5拷贝IPv4 ACL
操作命令说明进入系统视图system-view -
拷贝生成一个新的同类型的IPv4 ACL acl copy { source-acl-number | name
source-acl-name } to { dest-acl-number | name
dest-acl-name }
必选