QoS配置與管理——4
複雜流策略配置與管理
流策略是指通過將使用者流量分類,把具有某類共同特徵的報文劃分為一類,為相同型別的流量提供同等的QoS服務,從而針對不同的業務型別提供差分服務。
複雜流策略包含3個要素:
(1)流分類
流分類(trafficclassifier)用來定義一組流量匹配規則,以對報文進行分類。流分類中各規則之間的關係分為and或or,預設情況下的關係為and。當流分類中有ACL規則時,報文必須匹配其中一條ACL規則以及所有非ACL規則才屬於and類;當流分類中沒有ACL規則時,報文必須匹配所有非ACL規則才屬於and類;當報文只要匹配了流分類中的一個規則,裝置就認為報文屬於or類。
(2)流行為
流行為(traffic behavior)用來定義針對某類報文所做的QoS行為。進行流分類是為了有區別地提供服務,它必須與某種流量控制或資源分配的行為關聯起來才有意義。
(3)流策略
流策略(traffic policy)用來將指定的流分類和流行為繫結,對分類後的報文執行對應流行為中定義的行為。
一、配置流分類
配置流分類可以將符合一定規則的報文分為一類,區分出使用者流量,是實現差分服務的前提和基礎。如果使用ACL作為流分類規則,則在配置流分類之前要配置相應的ACL。各個流分類各規則之間屬於並列關係,只要匹配規則不衝突,都可以在同一流分類中配置。
流分類的配置方法需要兩步:
(1)先在系統檢視下使用trafficclassifier classifier-name [operator {and | or}]命令建立一個流分類,進入流分類檢視。
①classifier-name:指定所建立的流分類的名稱。
②and:二選一,表示在配置的各流分類中各規則之間關係為“邏輯與”,這樣當流分類中有ACL規則時,報文必須匹配其中一條ACL規則以及所有非ACL規則才屬於該類;當流分類中沒有ACL規則時,則報文必須匹配所有非ACL規則才屬於該類。
③or:二選一,表示流分類各規則之間關係是“邏輯或”,即報文只需匹配流分類中的一個或多個規則即屬於該類。預設情況下,流分類中各規則之間的關係為“邏輯與”。
(2)根據實際情況選擇配置流分類中的匹配規則。
示例:定義流分類c1的匹配規則為匹配VLANID為2的報文
<Huawei>system-view
[Huawei]traffic classifier c1 operator and
[Huawei-classifier-c1]if-match vlan-id 2
示例:定義流分類c1的匹配規則為匹配內層VLANID為100的QinQ報文。
<Huawei>system-view
[Huawei]traffic classifier c1 operator and
[Huawei-classifier-c1]if-match cvlan-id 100
示例:定義流分類c1的匹配規則為匹配內層VLANID範圍為100到200且外層VLAN ID為300的QinQ報文。
<Huawei>system-view
[Huawei]traffic classifier c1 operator and
[Huawei-classifier-c1]if-match cvlan-id 100to 200 vlan-id 300
示例:定義流分類c1的匹配規則為匹配802.1p優先順序值為1的VLAN報文。
<Huawei>system-view
[Huawei]traffic classifier c1 operator and
[Huawei-classifier-c1]if-match 8021p 1
示例:定義流分類c1的匹配規則為匹配目的MAC地址為0050-ba27-bed3的報文
<Huawei>system-view
[Huawei]traffic classifier c1 operator and
[Huawei-classifier-c1]if-matchdestination-mac 0050-ba27-bed3
示例:定義流分類c1的匹配規則為匹配目的MAC地址為XX50-bXX7-bed3的報文(X表示為任意十六進位制)。
<Huawei>system-view
[Huawei]traffic classifier c1 operator and
[Huawei-classifier-c1]if-matchdestination-mac 0050-b007-bed3 00ff-f00f-ffff
示例:定義流分類c1的匹配規則為匹配二層封裝的協議欄位為ARP的報文。
<Huawei>system-view
[Huawei]traffic classifier c1 operator and
[Huawei-classifier-c1]if-match l2-protocolarp
二、配置流行為
配置流行為即為符合流分類規則的流量指定後續行為,是配置流策略的前提條件。在配置流行為時,各行為屬於疊加關係,只要不衝突,都可以在同一流行為中配置。
1、報文過濾
配置報文過濾後,裝置對符合流分類規則的報文進行過濾,從而實現對網路流量的控制。
2、重標記
通過配置重標記,裝置對符合流分類規則的報文的指定欄位進行設定,如VLAN報文的802.1p優先順序、IP報文的DSCP和內部優先順序。但重標記報文某些欄位,不會影響當前裝置對報文的QoS處理,僅會影響下游裝置對報文的QoS處理。
3、重定向
通過配置重定向,裝置將符合劉分類規則的報文重定向到CPU、指定的下一跳地址或指定介面,但包含重定向行為的流策略只能在全域性、介面或VLAN的入方向上應用。
4、流量監管
流量監管是一種通過對流量規格的監督,來限制流量及其資源使用的流量控制行為。通過配置流量監管,裝置對符合流分類規則的報文的流量進行監督,對於超過規格的流量,可以採取丟棄、重標記顏色、重標記服務級別等行為。
5、流映象
配置流映象後,裝置將符合劉分類規則的所有報文映象到監控埠。
6、流量統計
配置流量統計後,裝置將對符合劉分類規則的報文進行流量統計,幫助使用者瞭解應用流策略後報文通過和被丟棄的情況。
7、禁止MAC地址學習
在網路比較穩定、報文的MAC地址相對固定的情況下,裝置沒有必要繼續學習其他所有報文的MAC地址。此時通過對流策略下所有流分類禁止MAC地址學習功能,可以節省MAC地址表項開支,又可提高裝置的執行效率。
某些非法使用者有時會採用頻繁變換MAC地址的方式對網路進行攻擊,此時通過對流策略下所有流分類禁止MAC地址學習功能,可避免此類攻擊所造成的的裝置MAC地址表項溢位問題。
三、配置流策略
通過配置流策略,將流分類和流行為繫結起來,形成完整的策略。只需在系統檢視下通過traffic policy traffic-policy-name [match-order {auto | config}]命令建立流策略,並進入流策略檢視,然後在流策略檢視下通過classifier classifier-name behavior behavior-name將前面建立的流分類和流行為進行關聯即可。
[match-order{auto | config}]:可選項,指定流策略規則匹配順序,如果選擇auto,則流策略規則匹配順序是由系統預先指定的流分類優先順序決定的,該優先順序排序如下:基於二層和三層資訊流分類>基於二層資訊流分類>基於三層資訊流分類;如果選擇config,則流策略規則匹配順序是由流分類配置的先後順序決定的。
如果流策略已經應用到全域性、介面板、介面或VLAN,則一般不允許刪除該策略。如果不得不刪除,則需要先在相應的檢視下執行undo traffic-policy命令取消對該策略的應用,然後到系統檢視下執行undo traffic policy命令完成刪除。
示例:建立根據流分類配置順序進行規則匹配的流策略p1,並關聯已建立的流分類c1和流行為b1。
<Huawei>system-view
[Huawei]traffic policy p1 match-orderconfig
[Huawei-trafficpolicy-p1]classifier c1behavior b1
示例:刪除已經應用在介面GE1/0/1入方向上的流策略p1。
<Huawei>system-view
[Huawei]interface gigabitethernet 1/0/1
[Huawei-GigabitEthernet1/0/1]undotraffic-policy inbound
[Huawei-GigabitEthernet1/0/1]quit
[Huawei]undo traffic policy p1
四、應用流策略
綁定了流行為與流分類的完整流策略可應用到交換機全域性、介面或VLAN上,實現針對不同業務的差分服務。
在報文同時匹配多個流策略時。
●如果這些流策略的分類規則屬於同一類,即匹配規則同屬於自定義ACL規則、二層規則或三層規則時,只會有一個流策略生效,生效的優先順序與應用的物件有關,生效優先順序:介面>VLAN>全域性。
●如果這些流策略的分類規則不屬於同一類,對於彼此不衝突的行為,流策略都會生效;對於彼此衝突的行為,流策略生效優先順序與規則有關,生效優先順序:自定義ACL規則>二層規則+三層規則>二層規則>三層規則。
1、在全域性應用流策略
在全域性應用流策略是指在交換機所有埠的某個方向上應用所建立的流策略。
(1)在S2700/3700系列交換機中(S2700SI交換機不支援流策略應用)。在系統檢視下使用traffic-policy policy-name global inbound命令在交換機上所有埠入方向應用流策略。
(2)在S5700/6700/7700/9300/9300E/9700系列交換機中。在系統檢視下使用traffic-policy policy-name global {inbound | outbound} [slotslot-id]命令在交換機或某個單板上所有埠入方向或出方向應用流策略。
全域性或單板的每個方向上只能應用一個流策略,如果在全域性某個方向應用了流策略,則不能在單板的該方向上再次應用流策略;指定單板在某方向應用流策略後,也不能在全域性的該方向上再次應用流策略。
在全域性應用,系統對進入裝置的所有匹配;流分類規則的入方向或出方向報文流實施策略控制;在單板應用,系統對進入該單板的所有匹配流分類規則的入方向或出方向報文流實施策略控制。
示例:建立流策略p1並在該策略下關聯已建立的流分類c1和流行為b1,然後在全域性入方向上應用該策略。
<Huawei>system-view
[Huawei]traffic policy p1
[Huawei-trafficpolicy-p1]classifier c1behavior b1
[Huawei-trafficpolicy-p1]quit
[Huawei]traffic-policy p1 global inbound
2、在介面上應用流策略
在介面上應用流策略是在具體介面檢視下進行配置的。每個介面的每個方向上只能應用一個流策略,但同一個流策略可以同時應用在不同介面的不同方向。應用後,系統對流經該介面並匹配流分類中規則的入方向或出方向報文實施策略控制。但是流策略對VLAN 0的報文不生效。
建議不要在Untagged型別接口出方向上應用包含有remark8021p、remark cvlan-id、remark vlan-id等行為的流策略,否則,可能導致報文內容出錯。
(1)在S2700-52P-EI/2700-52P-PWR-EI/2710SI/3700SI/3700EI系列交換機上。使用traffic-policypolicy-name inbound命令在介面的入方向應用流策略。
(2)在其他S系列交換機上。使用traffic-policypolicy-name {inbound | outbound}命令在介面的出方向或入方向應用流策略。
示例:建立流策略p1並在該策略下關聯已建立的流分類c1和流行為b1,然後在GE0/0/1介面入方向上應用該策略。
<Huawei>system-view
[Huawei]traffic policy p1
[Huawei-trafficpolicy-p1]classifier c1behavior b1
[Huawei-trafficpolicy-p1]quit
[Huawei]interface gigabitethernet 0/0/1
[Huawei-GigabitEthernet0/0/1]trafiic-policyp1 inbound
3、在VLAN上應用流策略
在VLAN上應用流策略必須在對應的VLAN檢視下進行配置。應用後,系統對屬於該VLAN並匹配流分類中規則的入方向報文實施策略控制。但是如果匹配到VLAN0報文,則流策略不生效。
(1)在S2700/3700系列交換機中。在系統檢視下使用traffic-policy policy-name global inbound命令在加入了對應VLAN的介面入方向上應用流策略。
(2)在其他S系列交換機上。使用traffic-policypolicy-name {inbound | outbound}命令在加入了對應VLAN的介面入方向或出方向應用流策略。
示例:建立流策略p1並在該策略下關聯已建立的流分類c1和流行為b1,然後在VLAN100的入方向上應用該策略。
<Huawei>system-view
[Huawei]traffic policy p1
[Huawei-trafficpolicy-p1]classifier c1behavior b1
[Huawei-trafficpolicy-p1]quit
[Huawei]vlan 100
[Huawei-vlan100]traffic-policy p1 inbound
五、基於複雜流分類的優先順序重標記配置示例
上圖拓撲,企業分支機構1和2通過Switch連線到外部網路裝置,其中企業分支機構1屬於VLAN100,企業分支機構2屬於VLAN200。現希望分支機構1上送的資料報文能夠得到更好的QoS保證,實現差分服務。
1、基本配置思路
要區分不同分支機構的VLAN報文優先順序,所以可採用QoS流策略中的重標記報文的802.1p優先順序的方式實現差分服務。
(1)在Switch撒花姑娘建立VLAN,並配置各介面型別為trunk,實現企業分支機構能夠通過Switch訪問網路。
(2)在Switch上配置流分類,實現基於VLANID對報文進行分類。
(3)在Switch上配置流行為,將企業分支機構1和企業分支機構2上送的報文的802.1p優先順序分別重標記為4和2,實現企業分支機構1的優先順序高於企業分支機構2。
(4)在Switch上配置流策略,繫結已經配置好的流行為和流分類,並應用到介面GE0/0/1和GE0/0/2的入方向上,實現差分服務。
2、具體配置步驟
(1)在Switch上建立VLAN100和VLAN200
<Huawei>system-view
[Huawei]sysname Switch
[Switch]vlan batch 100 200
(2)配置GE0/0/1、GE0/0/2和GE0/0/3介面的型別為Trunk,並將GE0/0/1介面加入VLAN100,將GE0/0/2介面加入VLAN200,GE0/0/3介面加入VLAN100和VLAN200。
[Switch]interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1]port link-typetrunk
[Switch-GigabitEthernet0/0/1]port trunkallow-pass vlan 100
[Switch-GigabitEthernet0/0/1]quit
[Switch]interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2]port link-typetrunk
[Switch-GigabitEthernet0/0/2]port trunkallow-pass vlan 200
[Switch-GigabitEthernet0/0/2]quit
[Switch]interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3]port link-typetrunk
[Switch-GigabitEthernet0/0/3]port trunkallow-pass vlan 100 200
[Switch-GigabitEthernet0/0/3]quit
(3)在Switch上定義並配置流分類c1、c2,對來自企業分支機構的報文按照其VLAN ID進行分類。
[Switch]traffic classifier c1 operator and
[Switch-classifier-c1]if-match vlan-id 100
[Switch-classifier-c1]quit
[Switch]traffic classifier c2 operator and
[Switch-classifier-c2]if-match vlan-id 200
[Switch-classifier-c2]quit
(4)在Switch上定義並配置流行為b1、b2,並分別 重標記分支機構1和分支機構2的VLAN報文的802.1p優先順序為4和2。
[Switch]traffic behavior b1
[Switch-behavior-b1]remark 8021p 4
[Switch-behavior-b1]quit
[Switch]traffic behavior b2
[Switch-behavior-b2]remark 8021p 2
[Switch-behavior-b2]quit
(5)在Switch上建立流策略p1,將前面定義的流分類和對應的流行為進行繫結,並將流策略應用到GE0/0/1和GE0/0/2介面的入方向上,對報文進行重標記。
[Switch]traffic policy p1
[Switch-trafficpolicy-p1]classifier c1behavior b1
[Switch-trafficpolicy-p1]classifier c2behavior b2
[Switch-trafficpolicy-p1]quit
[Switch]interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1]traffic-policyp1 inbound
[Switch-GigabitEthernet0/0/1]quit
[Switch]interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2]traffic-policyp1 inbound
[Switch-GigabitEthernet0/0/2]quit
六、基於複雜流分類的流量統計配置示例
如上拓撲,PC1的MAC地址為0000-0000-0003,它連線在Switch的GE0/0/1介面上。現希望Switch對源MAC為0000-0000-0003的報文進行流量統計。
1、基本配置思路分析
本例採用包含流量統計行為的QoS流策略方式實現流量統計。
(1)配置各介面,實現Switch與Router、PC1互通。
(2)配置二層ACL規則,匹配源MAC為0000-0000-0003的報文。
(3)定義流分類,實現基於上述ACL的規則對報文進行分類。
(4)定義流行為,實現對滿足規則的報文進行流量統計。
(5)建立流策略,繫結上述流分類和流行為,並應用到GE0/0/1介面的入方向,實現對該介面收到的源MAC為0000-0000-0003的報文進行流量統計。
2、具體配置步驟
(1)在Switch上建立VLAN20
<Huawei>system-view
[Huawei]sysname Switch
[Switch]vlan 20
(2)配置GE0/0/1介面為Access型別介面,GE0/0/2介面為Trunk型別介面,並將GE0/0/1和GE0/0/2加入VLAN20.
[Switch]interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1]port link-typeaccess
[Switch-GigabitEthernet0/0/1]port defaultvlan 20
[Switch-GigabitEthernet0/0/1]quit
[Switch]interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2]port link-typetrunk
[Switch-GigabitEthernet0/0/2]port trunkallow-pass vlan 20
[Switch-GigabitEthernet0/0/2]quit
(3)建立VLANIF20,並配置IP地址20.1.20.2/24(需要配置Router與Switch對接的介面IP地址在同一網段)。
[Switch]interface vlanif 20
[Switch-Vlanif20]ip address 20.1.20.2 24
[Switch-Vlanif20]quit
(4)在Switch上建立編碼為4000的二層ACL,匹配源MAC為0000-0000-0003的報文
[Switch]acl 4000
[Switch-acl-L2-4000]rule permit source-mac0000-0000-0003 ffff-ffff-ffff
[Switch-acl-L2-4000]quit
(5)在Switch上定義流分類c1,匹配規則為ACL4000
[Switch]traffic classifier c1 operator and
[Switch-classifier-c1]if-match acl 4000
[Switch-classifier-c1]quit
(6)在Switch上定義流行為b1,並配置流量統計行為。
[Switch]traffic behavior b1
[Switch-behavior-b1]statistics enable
[Switch-behavior-b1]quit
(7)在Switch上建立流策略p1,將流分類和對應的流行為進行繫結。
[Switch]traffic policy p1
[Switch-trafficpolicy-p1]classifier c1behavior b1
[Switch-trafficpolicy-p1]quit
(8)將流策略p1應用到GE0/0/1介面入方向。
[Switch]interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1]traffic-policyp1 inbound
[Switch-GigabitEthernet0/0/1]quit
七、基於複雜流分類的報文過濾配置示例
如上拓撲,企業通過SwitchA的GE0/0/2介面連線到外部網路裝置。不同業務的報文在LSW側使用802.1p優先順序進行標識,當報文從GE0/0/2介面到達外部網路時,使用者希望能夠對資料業務報文進行過濾,優先保證話音和視訊業務的業務體驗。
1、基本配置思路分析
採用802.1p優先順序過濾的流行為來實現報文過濾的。
(1)配置各介面,實現企業使用者能夠通過SwitchA訪問外部網路。
(2)定義流分類,實現基於802.1p優先順序對報文進行分類。
(3)定義流行為,實現對滿足規則的報文進行禁止或允許行為。
(4)建立流策略,繫結上述定義的流分類和流行為,並應用到GE0/0/1介面的入方向,實現報文過濾。
2、具體配置步驟
(1)在SwitchA上建立VLAN10。
<Huawei>system-view
[Huawei]sysname SwitchA
[SwitchA]vlan 10
[SwitchA-Vlan10]quit
(2)配置SwitchA上介面GE0/0/1和GE0/0/2為Trunk型別介面,並加入VLAN10(需要同時配置LSW與SwitchA對接的介面為Trunk型別,並加入VLAN10)。
[SwitchA]interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1]portlink-type trunk
[SwitchA-GigabitEthernet0/0/1]port trunkallow-pass vlan 10
[SwitchA-GigabitEthernet0/0/1]quit
[SwitchA]interface gigabitethernet 0/0/2
[SwitchA-GigabitEthernet0/0/2]portlink-type trunk
[SwitchA-GigabitEthernet0/0/2]port trunkallow-pass vlan 10
[SwitchA-GigabitEthernet0/0/2]quit
(3)建立VLANIF10,併為VLANIF10配置IP地址192.168.2.1/24(需要同時配置Router與SwitchA對接的介面IP地址在同一網段)
[SwitchA]interface vlanif 10
[SwitchA-Vlanif10]ip address 192.168.2.1 24
[SwitchA-Vlanif10]quit
(4)在SwitchA上定義並配置流分類c1、c2、c3,對報文按照802.1p優先順序進行分類。
[SwitchA]traffic classifier c1
[SwitchA-classifier-c1]if-match 8021p 2
[SwitchA-classifier-c1]quit
[SwitchA]traffic classifier c2
[SwitchA-classifier-c2]if-match 8021p 5
[SwitchA-classifier-c2]quit
[SwitchA]traffic classifier c3
[SwitchA-classifier-c3]if-match 8021p 6
[SwitchA-classifier-c3]quit
(5)在SwitchA上定義流行為b1,並禁止行為,定義流行為b2和b3,並允許行為。
[SwitchA]traffic behavior b1
[SwitchA-behavior-b1]deny
[SwitchA-behavior-b1]quit
[SwitchA]traffic behavior b2
[SwitchA-behavior-b2]permit
[SwitchA-behavior-b2]quit
[SwitchA]traffic behavior b3
[SwitchA-behavior-b3]permit
[SwitchA-behavior-b3]quit
(6)在SwitchA上建立流策略p1,將流分類和對應的流行為進行繫結並將流策略應用到GE0/0/1介面的入方向上,對報文進行過濾。
[SwitchA]traffic policy p1
[SwitchA-trafficpolicy-p1]classifier c1behavior b1
[SwitchA-trafficpolicy-p1]classifier c2behavior b2
[SwitchA-trafficpolicy-p1]classifier c3behavior b3
[SwitchA-trafficpolicy-p1]quit
[SwitchA]interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1]traffic-policyp1 inbound
[SwitchA-GigabitEthernet0/0/1]quit
