四、基于简化流策略ACL配置
基于ACL的简化流策略是指通过将报文信息与ACL规则进行匹配,为符合相同ACL规则的报文提供相同的QoS服务,实现对不同类型业务的差分服务。
当用户希望对进入网络的流量进行控制时,可以配置ACL规则根据报文的源IP地址、分片标记、目的IP地址、源端口号、源MAC地址等信息对报文进行匹配,进而配置基于ACL的简化流策略实现对匹配ACL规则的报文过滤、流量监管、流镜像、重定向、重标记或流量统计。
与流策略相比,基于ACL的简化流策略不需要单独创建流分类、流行为或流策略,配置更为简洁;但是由于仅基于ACL规则对报文进行匹配,因此匹配规则没有流策略丰富。
基于ACL的简化流策略配置时要注意:
同一接口、VLAN或全局下配置多条简化流策略,如果其中一条简化流策略引用的ACL规则发生变化,会导致此视图所有简化流策略短暂失效。
如果配置traffic-redirect命令将流量重定向到接口时,建议ACL规则匹配二层流量。
1、基于ACL的报文过滤配置
通过配置基于ACL的报文过滤,对匹配ACL规则报文进行禁止/允许动作,进而实现对网络流量的控制。
可以根据以下原则选用traffic-filter或traffic-secure命令配置报文过滤:
如果traffic-filter或traffic-secure关联的ACL没有同时被其他基于ACL的简化流策略所关联(即两个简化流策略关联的不是同一个acl),且报文不会同时匹配报文过滤和其他简化流策略关联的ACL规则时,traffic-filter和traffic-secure可以任选其一。
如果traffic-filter或traffic-secure关联的ACL同时被其他基于ACL的简化流策略所关联,或者报文同时匹配了报文过滤和其他简化流策略关联的ACL时,traffic-filter和traffic-secure的区别如下:
当traffic-secure和其他基于ACL的简化流策略同时配置,且ACL规则中的动作为Deny时,仅traffic-secure、traffic-mirror(流量镜像)和traffic-statistics(流量统计)命令生效(即traffic-secure 等命令配置的应用不生效),报文被过滤。
当traffic-secure和其他基于ACL的简化流策略同时配置,且ACL规则中的动作为Permit时,traffic-secure命令和其他基于ACL的简化流策略均生效。
当traffic-filter和其他基于ACL的简化流策略同时配置,且ACL规则中的动作为Deny时,仅traffic-filter、traffic-mirror和traffic-statistics命令生效,报文被过滤。
当traffic-filter和其他基于ACL的简化流策略同时配置,且ACL规则中的动作为Permit时,先配置的简化流策略生效。
具体配置
1.1、在全局或VLAN上配置基于简化流策略ACL报文过滤
[Huawei]traffic-filter ?
inbound Apply the acl on inbound packets
outbound Apply the acl on outbound packets
vlan Virtual LAN
[Huawei]traffic-filter vlan ?
INTEGER<1-4094> VLAN ID
[Huawei]traffic-filter vlan 2 ?
inbound Apply the acl on inbound packets
outbound Apply the acl on outbound packets
[Huawei]traffic-filter vlan 2 outbound ?
acl Specify ACL to match
[Huawei]traffic-filter vlan 2 outbound acl ?
INTEGER<2000-2999> Basic access-list
INTEGER<3000-3999> Advanced access-list
INTEGER<4000-4999> L2 access-list
ipv6 Specify IPv6
name Specify a named ACL
[Huawei]traffic-filter vlan 2 outbound acl 3000 ?
rule Specify the ID of acl rule
<cr>
[Huawei]traffic-filter vlan 2 outbound acl 3000 rule ?
INTEGER<0-4294967294> ID of acl rule
或
[Huawei]traffic-secure [ vlan vlan-id ] inbound acl { bas-acl | adv-acl | l2–acl | name acl-name } [ rule rule-id ]
1.2、在接口上配置基于简化流策略ACL报文过滤
[Huawei-GigabitEthernet0/0/2]traffic-filter ?
inbound Apply the acl on inbound packets
outbound Apply the acl on outbound packets
[Huawei-GigabitEthernet0/0/2]traffic-filter outbound ?
acl Specify ACL to match
[Huawei-GigabitEthernet0/0/2]traffic-filter outbound acl ?
INTEGER<2000-2999> Basic access-list
INTEGER<3000-3999> Advanced access-list
INTEGER<4000-4999> L2 access-list
ipv6 Specify IPv6
name Specify a named ACL
[Huawei-GigabitEthernet0/0/2]traffic-filter outbound acl 3000 ?
rule Specify the ID of acl rule
<cr>
[Huawei-GigabitEthernet0/0/2]traffic-filter outbound acl 3000 rule ?
INTEGER<0-4294967294> ID of acl rule
或
[Huawei-GigabitEthernet0/0/2]traffic-secure inbound acl { bas-acl | adv-acl | l2–acl | name acl-name } [ rule rule-id ]
基于ACL报文过滤traffic-filter和traffic-secure 命令参数说明
|
参数 |
说明 |
|
vlan vlan-id |
|
|
inbound |
在入方向应用报文过滤 |
|
outbound |
在出方向应用报文过滤 |
|
bas-acl |
基本acl |
|
adv-acl |
高级acl |
|
l2-acl |
二层acl |
|
user-acl |
用户acl |
|
vlan |
可选,在特定vlan上应用基于acl的报文过滤 |
|
acl |
基于ipv4 acl对报文过滤 |
|
ipv6 |
基于ipv6 acl对报文进行过滤 |
|
name |
采用基于命名型acl进行报文过滤 |
|
rule |
基于acl中特定规则进行报文过滤 |
2、基于ACL的流量监管配置
通过配置基于ACL的流量监管,对匹配ACL规则的报文进行限速。
2.1、在全局或VLAN上配置基于简化流策略ACL流量监管
[Huawei]traffic-limit ?
inbound Apply the acl on inbound packets
outbound Apply the acl on outbound packets
vlan Virtual LAN
[Huawei]traffic-limit vlan 3 ?
inbound Apply the acl on inbound packets
outbound Apply the acl on outbound packets
[Huawei]traffic-limit vlan 3 outbound ?
acl Specify ACL to match
[Huawei]traffic-limit vlan 3 outbound acl ?
INTEGER<2000-2999> Basic access-list
INTEGER<3000-3999> Advanced access-list
INTEGER<4000-4999> L2 access-list
ipv6 Specify IPv6
name Specify a named ACL
[Huawei]traffic-limit vlan 3 outbound acl 2000 ?
cir Committed information rate
rule Specify the ID of acl rule
[Huawei]traffic-limit vlan 3 outbound acl 2000 cir ?
INTEGER<8-10000000> Value of CIR (Unit: Kbps)
[Huawei]traffic-limit vlan 3 outbound acl 2000 cir 10240 ?
cbs Committed burst size
green Specify behavior conducted when rate no higher than CIR
pir Peak information rate
red Specify behavior conducted when rate higher than PIR
yellow Specify behavior conducted when rate higher than CIR, no higher than
PIR
<cr>
2.2、在接口上配置基于简化流策略ACL流量监管
命令与在全局或VLAN上配置基于简化流策略ACL流量监管类似,只是需要在接口视图下配置。
基于ACL的流量监管配置主要参数说明
|
参数 |
说明 |
|
vlan |
|
|
inbound |
|
|
outbound |
|
|
……… |
同上面基于acl的报文过滤参数 |
|
cir cir-value |
承诺信息速率,即保证能够通过的评价速率 |
|
pir |
峰值信息速率,即能够通过的最大速率 |
|
cbs |
承诺突发尺寸,即瞬间能够通过的承若突发流量 |
|
pbs |
峰值突发尺寸,即瞬间能够通过的峰值突发流量 |
|
gree |
对绿色报文进行监管,默认允许通过 |
|
yellow |
对黄色报文进行监管,默认允许通过 |
|
red |
对红色报文进行监管,默认被丢弃 |
|
remark 8021P-value |
指定重标记报文的8021P优先级 |
|
remark dscp-value |
指定重标记报文DSCP优先级 |
|
drop |
指定丢弃报文 |
|
pass |
指定允许报文通过 |
您阅读这篇文章共花了: 
相关文章本文地址:http://www.023wg.com/ACL/167.html
版权声明:若无注明,本文皆为“Swiers思唯网络博客”原创,转载请保留文章出处。
-
enomothem 说:
是的,证书需要于你的实力匹配 -
墨殃 说:
谢谢楼主分享很详细 祝您工作愉快 -
冰尘 说:
我当年上学的时候也这么考虑过,不过没有你... -
你好 说:
在交换机B上ping 172.16.2网... -
随梦而追 说:
博主大人您好,我是2017年毕业的小伙子... -
燃灯大师 说:
我刚好参加此次比赛 -
曲别针 说:
多谢分享,赞! -
agony 说:
谢谢,受益匪浅 -
陈Huid 说:
谢谢分享 -
美股指数 说:
谢谢您的分享!
