华为ACL配置教程(五)
首页 > HuaWei > ACL   作者:杭州清默网络  2016年2月12日 12:09 星期五  字号:   评论:0 条
时间:2016-2-12 12:09   评论:0 条 

四、基于简化流策略ACL配置

基于ACL的简化流策略是指通过将报文信息与ACL规则进行匹配,为符合相同ACL规则的报文提供相同的QoS服务,实现对不同类型业务的差分服务。

当用户希望对进入网络的流量进行控制时,可以配置ACL规则根据报文的IP地址、分片标记、目的IP地址、源端口号、源MAC地址等信息对报文进行匹配,进而配置基于ACL的简化流策略实现对匹配ACL规则的报文过滤、流量监管、流镜像、重定向、重标记或流量统计

与流策略相比,基于ACL的简化流策略不需要单独创建流分类、流行为或流策略,配置更为简洁;但是由于仅基于ACL规则对报文进行匹配,因此匹配规则没有流策略丰富。

基于ACL的简化流策略配置时要注意:

同一接口、VLAN或全局下配置多条简化流策略,如果其中一条简化流策略引用的ACL规则发生变化,会导致此视图所有简化流策略短暂失效。

如果配置traffic-redirect命令将流量重定向到接口时,建议ACL规则匹配二层流量。

 

1、基于ACL的报文过滤配置

通过配置基于ACL的报文过滤,对匹配ACL规则报文进行禁止/允许动作,进而实现对网络流量的控制。

可以根据以下原则选用traffic-filtertraffic-secure命令配置报文过滤:

如果traffic-filtertraffic-secure关联的ACL没有同时被其他基于ACL的简化流策略所关联(即两个简化流策略关联的不是同一个acl),且报文不会同时匹配报文过滤和其他简化流策略关联的ACL规则时,traffic-filtertraffic-secure可以任选其一。

如果traffic-filtertraffic-secure关联的ACL同时被其他基于ACL的简化流策略所关联,或者报文同时匹配了报文过滤和其他简化流策略关联的ACL时,traffic-filtertraffic-secure的区别如下:

traffic-secure和其他基于ACL的简化流策略同时配置,且ACL规则中的动作为Deny时,仅traffic-securetraffic-mirror(流量镜像)和traffic-statistics(流量统计)命令生效(即traffic-secure 等命令配置的应用不生效),报文被过滤。

traffic-secure和其他基于ACL的简化流策略同时配置,且ACL规则中的动作为Permit时,traffic-secure命令和其他基于ACL的简化流策略均生效。

traffic-filter和其他基于ACL的简化流策略同时配置,且ACL规则中的动作为Deny时,仅traffic-filtertraffic-mirrortraffic-statistics命令生效,报文被过滤。

traffic-filter和其他基于ACL的简化流策略同时配置,且ACL规则中的动作为Permit时,先配置的简化流策略生效。

具体配置

1.1、在全局或VLAN上配置基于简化流策略ACL报文过滤

[Huawei]traffic-filter ?

  inbound   Apply the acl on inbound packets

  outbound  Apply the acl on outbound packets

  vlan      Virtual LAN

 

 [Huawei]traffic-filter vlan ?

  INTEGER<1-4094>  VLAN ID

 

[Huawei]traffic-filter vlan 2 ?

  inbound   Apply the acl on inbound packets

  outbound  Apply the acl on outbound packets

   

[Huawei]traffic-filter vlan 2 outbound ?

  acl  Specify ACL to match

 

 [Huawei]traffic-filter vlan 2 outbound acl ?

  INTEGER<2000-2999>  Basic access-list

  INTEGER<3000-3999>  Advanced access-list

  INTEGER<4000-4999>  L2 access-list

  ipv6                Specify IPv6

  name                Specify a named ACL

 

[Huawei]traffic-filter vlan 2 outbound acl 3000 ?

  rule  Specify the ID of acl rule

  <cr> 

 

 [Huawei]traffic-filter vlan 2 outbound acl 3000 rule ?

  INTEGER<0-4294967294>  ID of acl rule

[Huawei]traffic-secure [ vlan vlan-id ] inbound acl { bas-acl | adv-acl | l2acl | name acl-name } [ rule rule-id ]

 

1.2、在接口上配置基于简化流策略ACL报文过滤

[Huawei-GigabitEthernet0/0/2]traffic-filter ?

  inbound   Apply the acl on inbound packets

  outbound  Apply the acl on outbound packets

 

 [Huawei-GigabitEthernet0/0/2]traffic-filter outbound ?

  acl  Specify ACL to match

 

 [Huawei-GigabitEthernet0/0/2]traffic-filter outbound acl ?

  INTEGER<2000-2999>  Basic access-list

  INTEGER<3000-3999>  Advanced access-list

  INTEGER<4000-4999>  L2 access-list

  ipv6                Specify IPv6

  name                Specify a named ACL

 

[Huawei-GigabitEthernet0/0/2]traffic-filter outbound acl 3000 ?

  rule  Specify the ID of acl rule

  <cr> 

 

[Huawei-GigabitEthernet0/0/2]traffic-filter outbound acl 3000 rule ?

  INTEGER<0-4294967294>  ID of acl rule

[Huawei-GigabitEthernet0/0/2]traffic-secure inbound acl { bas-acl | adv-acl | l2acl | name acl-name } [ rule rule-id ]

 

基于ACL报文过滤traffic-filtertraffic-secure 命令参数说明

参数

说明

vlan vlan-id

inbound

在入方向应用报文过滤

outbound

在出方向应用报文过滤

bas-acl

基本acl

adv-acl

高级acl

l2-acl

二层acl

user-acl

用户acl

vlan

可选,在特定vlan上应用基于acl的报文过滤

acl

基于ipv4 acl对报文过滤

ipv6

基于ipv6 acl对报文进行过滤

name

采用基于命名型acl进行报文过滤

rule

基于acl中特定规则进行报文过滤

 

 

2、基于ACL的流量监管配置

通过配置基于ACL的流量监管,对匹配ACL规则的报文进行限速

2.1、在全局或VLAN上配置基于简化流策略ACL流量监管

[Huawei]traffic-limit ?

  inbound   Apply the acl on inbound packets

  outbound  Apply the acl on outbound packets

  vlan      Virtual LAN

 

[Huawei]traffic-limit vlan 3 ?

  inbound   Apply the acl on inbound packets

  outbound  Apply the acl on outbound packets

 

[Huawei]traffic-limit vlan 3 outbound ?

  acl  Specify ACL to match

 

[Huawei]traffic-limit vlan 3 outbound acl ?

  INTEGER<2000-2999>  Basic access-list

  INTEGER<3000-3999>  Advanced access-list

  INTEGER<4000-4999>  L2 access-list

  ipv6                Specify IPv6

  name                Specify a named ACL

 

[Huawei]traffic-limit vlan 3 outbound acl 2000 ?

  cir   Committed information rate

  rule  Specify the ID of acl rule

 

[Huawei]traffic-limit vlan 3 outbound acl 2000 cir ?

  INTEGER<8-10000000>  Value of CIR (Unit: Kbps)

 

[Huawei]traffic-limit vlan 3 outbound acl 2000 cir 10240 ?

  cbs     Committed burst size

  green   Specify behavior conducted when rate no higher than CIR

  pir     Peak information rate

  red     Specify behavior conducted when rate higher than PIR

  yellow  Specify behavior conducted when rate higher than CIR, no higher than

          PIR

  <cr> 

 

2.2、在接口上配置基于简化流策略ACL流量监管

命令与在全局或VLAN上配置基于简化流策略ACL流量监管类似,只是需要在接口视图下配置。

基于ACL的流量监管配置主要参数说明

参数

说明

vlan

inbound

outbound

………

同上面基于acl的报文过滤参数

cir cir-value

承诺信息速率,即保证能够通过的评价速率

pir

峰值信息速率,即能够通过的最大速率

cbs

承诺突发尺寸,即瞬间能够通过的承若突发流量

pbs

峰值突发尺寸,即瞬间能够通过的峰值突发流量

gree

对绿色报文进行监管,默认允许通过

yellow

对黄色报文进行监管,默认允许通过

red

对红色报文进行监管,默认被丢弃

remark 8021P-value

指定重标记报文的8021P优先级

remark dscp-value

指定重标记报文DSCP优先级

drop

指定丢弃报文

pass

指定允许报文通过

 您阅读这篇文章共花了: 
二维码加载中...
技术交流:欢迎在本文下方留言或加入QQ群:647682417 互相学习。     
本文地址:http://www.023wg.com/ACL/167.html
版权声明:若无注明,本文皆为“杭州清默网络”原创,转载请保留文章出处。

返回顶部    首页   
版权所有:杭州清默网络    杭州清默网络