16、QoS报文过滤

网络中存在大量不信任报文，所谓的不信任报文是指对用户来说存在安全隐患或者不愿意接收的报文，部署报文过滤可以将这类报文直接丢弃，以提高用户在网络中的安全性。

当用户认为某类报文不可信时，可以通过MQC将这类报文与其他报文区别出来并进行丢弃；同样的，当用户认为某类报文可信时，也可以通过MQC将这类报文与其他报文区别出来并允许通过。

与黑名单相比，通过MQC实现报文过滤可以对报文进行更精细的划分，在网络部署时更加灵活。

QoS报文过滤应用场景举例

图1 报文过滤应用组网图

如上图1所示，为了保证企业研发部门、行政部门以及市场部门之间信息的安全性，公司规定研发部门、行政部门与市场部门之间不能互访。

部署报文过滤可以丢弃用户的不信任报文并允许信任的报文通过，以提高网络安全性并使网络规划更加灵活。

17、QoS重定向

重定向就是将符合流分类的报文流重定向到其他地方进行处理。

目前支持的重定向包括以下几种：

1、重定向到CPU：

对于需要CPU处理的报文，可以通过此配置上送给CPU。

2、重定向到接口：

对于收到需要由某个端口处理的报文，或者需要将报文通过某接口发送到指定设备处理时，可以配置重定向到此接口。

3、重定向到下一跳：

对于收到需要某台下游设备处理的报文时，可以通过配置重定向到该下游设备，针对三层报文转发，该方式可以用于实现策略路由。

QoS重定向应用场景举例

图1 重定向应用组网图

    如上图1所示，企业用户的业务流量经过SwitchA、SwitchB访问互联网，防火墙旁挂于SwitchA。出于网络安全考虑，用户希望对来自网络侧的流量进行验证。

如上图1所示QoS重定向业务部署方法

1、配置流分类，匹配规则为所有报文。

2、配置流行为，将匹配的流量重定向到防火墙进行验证。

3、配置流策略，绑定以上流分类和流行为，并应用在SwitchA的入方向，实现将所有来自Internet的流量重定向到防火墙进行验证。

18、QoS流量统计

配置MQC实现流量统计后，设备将对符合流分类规则的报文进行报文数和字节数的统计，可以帮助用户了解应用流策略后流量通过和被丢弃的情况，由此分析和判断流策略的应用是否合理，也有助于进行相关的故障诊断与排查。

只有配置MQC实现流量统计后，才可以通过display traffic policy statistics命令查看应用流策略后流量通过和被丢弃的情况。

流量统计与接口统计的区别如下表1所示。

QoS流量统计应用场景举例

图1 流量统计应用组网图

如上图1所示，企业园区网内的不同用户通过交换机和路由器与网络相连，为了对整个园区网的流量进行分析评估，可以对不同用户分别进行流量统计。

如上图1QoS流量统计应用部署方法

1、配置流分类，根据MAC地址匹配不同的用户，从而区分不同数据流量。

2、配置流行为，在流行为中配置流量统计。

3、配置流策略，绑定以上流分类和流行为，并应用在Switch的入方向，实现对不同用户报文的流量统计。

29、ACL的简化流策略配置

详情参见ACL 章节：http://www.023wg.com/ACL/167.html