H3C交换机ACL和QoS配置指南

需积分: 9 34 浏览量更新于2024-07-24 收藏 2.36MB PDF 举报

"ACL和QoS典型配置指导" 在网络通信中，Access Control List（ACL）和Quality of Service（QoS）是两个非常重要的概念，ACL 主要用于控制网络流量的访问权限，而QoS 则用于确保网络流量的质量。今天，我们将讨论ACL和QoS的典型配置指导。 ACL（Access Control List）是一种基于网络包过滤和控制的机制，用于控制网络流量的访问权限。ACL通常用于防火墙、路由器和交换机等网络设备上，以控制入侵网络的流量。ACL 可以根据不同的条件来过滤网络流量，如源IP地址、目的IP地址、协议类型、端口号等。 QoS（Quality of Service）是指网络设备对网络流量的服务质量的保证。QoS 可以确保网络流量的延迟、抖动和 packet loss 等指标达到一定的水平，从而确保网络应用的可靠性和实时性。QoS 通常用于视频会议、VoIP、在线游戏等对延迟和带宽要求很高的应用场景。在H3C交换机中，ACL和QoS的配置是非常重要的。H3C交换机提供了强大的ACL和QoS功能，用户可以根据自己的需求来配置ACL和QoS，以控制网络流量和保证网络服务质量。下面是一个典型的ACL配置示例： ``` acl 3000 rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 rule 1 deny ip source 192.168.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 ``` 在上面的示例中，我们定义了一个名为3000的ACL，包含两个规则。第一个规则允许来自192.168.1.0/24的IP地址到10.1.1.0/24的IP地址的流量。第二个规则拒绝来自192.168.1.0/24的IP地址到10.1.1.0/24的IP地址的流量。下面是一个典型的QoS配置示例： ``` qos policy 3000 classifier 1 match ip precedence 6 action 1 remark dscp 46 ! qos policy 3000 classifier 2 match ip precedence 4 action 2 remark dscp 26 ! ``` 在上面的示例中，我们定义了一个名为3000的QoS策略，包含两个分类器。第一个分类器匹配IP precedence为6的流量，并将其remark为DSCP 46。第二个分类器匹配IP precedence为4的流量，并将其remark为DSCP 26。 ACL和QoS是网络通信中的两个非常重要的概念，H3C交换机提供了强大的ACL和QoS功能，用户可以根据自己的需求来配置ACL和QoS，以控制网络流量和保证网络服务质量。

1-9

1.3.6 配置注意事项

z 当基本 IPv4 ACL 的匹配顺序为 config 时，用户可以修改该 ACL 中的任何一条已经存在的规

则，在修改 ACL 中的某条规则时，该规则中没有修改到的部分仍旧保持原来的状态；当 ACL

的匹配顺序为 auto 时，用户不能修改该 ACL 中的任何一条已经存在的规则，否则系统会提

示错误信息。

z 新创建或修改后的规则不能和已经存在的规则相同，否则会导致创建或修改不成功，系统会

提示该规则已经存在。

z 当基本 IPv4 ACL 的匹配顺序为 auto 时，新创建的规则将按照“深度优先”的原则插入到已

有的规则中，但是所有规则对应的编号不会改变。

z 当基本 IPv4 ACL 在设备管理功能中被应用后，用户可以随时编辑（增加、删除、修改）ACL

中的过滤规则，修改后的过滤规则将立刻生效。

z 在设备管理功能中应用基本 IPv4 ACL 时，如果报文没有与 ACL 中的规则匹配，交换机对此

类报文采取的动作为 deny，即拒绝报文通过。因此，无需配置拒绝报文的规则。

1.4

通过高级

IPv4 ACL

实现报文过滤典型配置指导（

QoS

策略方式）

高级 IPv4 ACL 与基本 IPv4 ACL 的区别不仅是能够匹配报文的 IP 地址，而且可以通过指定

TCP/UDP 端口号来匹配不同上层协议的报文。通过高级 IPv4 ACL，用户可以实现更为灵活的报文

过滤功能。

高级 IPv4 ACL 的序号取值范围为 3000～3999。

1.4.1 组网需求

图1-4 通过基本 IPv4 ACL 实现报文过滤组网示意图

Servers

R&D dept. Admin dept.

Host A

10.1.3.1

Switch A

10.1.3.0/24

Salary server

11.1.1.100

Internet

GE1/0/1

Manager

10.1.4.3/24

GE1/0/2

GE1/0/3

10.1.4.0/24

某公司内部网络如图 1-4

所示，现要求对各部门上网流量以及对工资服务器的访问做以下限制：

———————————————————————————————————————————————

it之路 365

http://itcto.taobao.com

———————————————————————————————————————————————

资料分享：http://url.cn/RISSiO

http://url.cn/R9gjV6

CCNA CCNP学习群： 321867546 8104903

CCIE学习群：272647966

1-10

z 在上班时间（8:30～18:00）仅允许研发经理的主机上网，其余研发部主机只有在下班时间才

能够上网。

z 无论任何时间，只有管理部的 HostA（10.1.3.1）才能够访问工资服务器（11.1.1.100），其

余任何主机均不能访问。

1.4.2 配置思路

对于数据包进行过滤的需求，可以通过 QoS 策略中的 filter 动作来实现，即：对允许通过的报文采

取 filter permit 的动作，而对拒绝通过的报文采取 filter deny 的动作。

在对研发部的 HTTP报文限制需求中，允许通过的是单个主机的 HTTP报文，因此可以使用高级 IPv4

ACL 来匹配由该主机发出的 HTTP 报文（TCP 目的端口 80），并将该 ACL 作为流分类规则，再使

用 filter permit 动作允许该主机发送的报文通过。对于其余主机，再创建高级 IPv4 ACL 来匹配任

意 IP地址发出的 HTTP报文，并作为流分类规则，再使用 filter deny动作拒绝这些主机发送的 HTTP

报文通过。

对于工资服务器的访问需求相对简单，只需要先创建匹配源地址为 Host A，目的地址为工资服务器

的流分类，并进行 filter permit 动作；再创建匹配任意源地址，目的地址为工资服务器的流分类，

再进行 filter deny 动作。

一个 QoS 策略中可以配置多个流分类与流行为的配对，在应用 QoS 策略时，这些配对的生效顺序

与用户的配置顺序相同。根据本例中的需求，需要先配置允许单个主机的流分类与流行为的配对，

再配置拒绝全部主机的配对，然后将策略在接入端口上进行应用，便可以实现组网需求。

1.4.3 适用产品、版本

表1-4 配置适用的产品与软件版本关系

产品软件版本

S7500E 系列以太网交换机

Release 6100 系列，Release 6300 系列，Release 6600 系列，

Release 6610 系列

S7600 系列以太网交换机 Release 6600 系列，Release 6610 系列

S5800&S5820X 系列以太网交换机 Release 1110，Release 1211

CE3000-32F 以太网交换机

Release 1211

S5810 系列以太网交换机

Release 1102

S5500-EI 系列以太网交换机 Release 2202，Release 2208

S5500-EI-D 系列以太网交换机

Release 2208

S5500-SI 系列以太网交换机 Release 2202 ，Release 2208

S5120-EI 系列以太网交换机 Release 2202，Release 2208

S5120-EI-D 系列以太网交换机

Release 1505

S5120-SI 系列以太网交换机 Release 1101，Release 1505

S5120-LI 系列以太网交换机

Release 1107

E552&E528 以太网交换机

Release 1103

S3610&S5510 系列以太网交换机 Release 5301，Release 5303，Release 5306，Release 5309

S3500-EA 系列以太网交换机 Release 5303，Release 5309

———————————————————————————————————————————————

it之路 365

http://itcto.taobao.com

———————————————————————————————————————————————

资料分享：http://url.cn/RISSiO

http://url.cn/R9gjV6

CCNA CCNP学习群： 321867546 8104903

CCIE学习群：272647966

1-11

产品软件版本

S3100V2-EI 系列以太网交换机

Release 5103

1.4.4 配置过程和解释

z 对研发部 HTTP 流量的限制

# 定义周期时间段 working_time，时间范围为工作日的 8:30～18:00。

<SwitchA> system-view

[SwitchA] time-range working_time 8:30 to 18:00 working-day

# 定义高级 IPv4 ACL 3000，配置在时间段 working_time 内匹配源 IP 地址为 10.1.4.3 发送的 HTTP

报文的访问规则。

[SwitchA] acl number 3000

[SwitchA-acl-adv-3000] rule permit tcp destination-port eq 80 source 10.1.4.3 0 time-range

working_time

[SwitchA-acl-adv-3000] quit

# 定义高级 IPv4 ACL 3001，配置在时间段 working_time 内匹配源 IP 地址为任意地址的 HTTP 报

文的访问规则。

[SwitchA] acl number 3001

[SwitchA-acl-adv-3001] rule deny tcp destination-port eq 80 source any time-range

working_time

[SwitchA-acl-adv-3001] quit

当高级 IPv4 ACL 被 QoS 策略引用对报文进行流分类时，ACL 规则中定义的动作（deny 或 permit）

不起作用，交换机对匹配此 ACL 的报文采取的动作由 QoS 策略中流行为定义的动作决定，因此 rule

命令中采用 permit 或 deny 参数均可。

# 定义类 rd_manager_http，对匹配高级 IPv4 ACL 3000 的报文进行分类。

[SwitchA] traffic classifier rd_manager_http

[SwitchA-classifier-rd_manager_http] if-match acl 3000

[SwitchA-classifier-rd_manager_http] quit

# 定义流行为 rd_manager_http，动作为允许报文通过。

[SwitchA] traffic behavior rd_manager_http

[SwitchA-behavior-rd_manager_http] filter permit

[SwitchA-behavior-rd_manager_http] quit

# 定义类 rd_http，对匹配高级 IPv4 ACL 3001 的报文进行分类。

[SwitchA] traffic classifier rd_http

[SwitchA-classifier-rd_http] if-match acl 3001

[SwitchA-classifier-rd_http] quit

# 定义流行为 rd_http，动作为拒绝报文通过。

[SwitchA] traffic behavior rd_http

[SwitchA-behavior-rd_http] filter deny

———————————————————————————————————————————————

it之路 365

http://itcto.taobao.com

———————————————————————————————————————————————

资料分享：http://url.cn/RISSiO

http://url.cn/R9gjV6

CCNA CCNP学习群： 321867546 8104903

CCIE学习群：272647966

1-12

[SwitchA-behavior-rd_http] quit

# 定义策略 rd_http，为类 rd_manager_http 指定流行为 rd_manager_http，为类 rd_http 指定流行

为 rd_http，并且在配置过程中需要注意两者的先后顺序，以保证应用策略后实际的运行结果与用户

的配置意图一致。

[SwitchA] qos policy rd_http

[SwitchA-qospolicy-rd_http] classifier rd_manager_http behavior rd_manager_http

[SwitchA-qospolicy-rd_http] classifier rd_http behavior rd_http

[SwitchA-qospolicy-rd_http] quit

# 将策略 rd_http 应用到端口 GigabitEthernet 1/0/1 的入方向。

[SwitchA] interface GigabitEthernet 1/0/1

[SwitchA-GigabitEthernet1/0/1] qos apply policy rd_http inbound

[SwitchA-GigabitEthernet1/0/1] quit

z 对工资服务器的访问限制

# 定义高级 IPv4 ACL 3002，匹配源地址为 Host A（10.1.3.1），目的地址为工资服务器（11.1.1.100）

的报文。

[SwitchA] acl number 3002

[SwitchA-acl-adv-3002] rule permit ip destination 11.1.1.100 0 source 10.1.3.1 0

[SwitchA-acl-adv-3002] quit

# 定义高级 IPv4 ACL 3003，匹配源地址为任意地址，目的地址为工资服务器的报文。

[SwitchA] acl number 3003

[SwitchA-acl-adv-3003] rule permit ip destination 11.1.1.100 0 source any

[SwitchA-acl-adv-3003] quit

# 定义流分类 host_a，匹配规则为 ACL 3002。

[SwitchA] traffic classifier host_a

[SwitchA-classifier-host_a] if-match acl 3002

[SwitchA-classifier-host_a] quit

# 定义流行为 host_a，动作为允许通过。

[SwitchA] traffic behavior host_a

[SwitchA-behavior-host_a] filter permit

[SwitchA-behavior-host_a] quit

# 定义流分类 except_host_a，匹配规则为 ACL 3003。

[SwitchA] traffic classifier except_host_a

[SwitchA-classifier-except_host_a] if-match acl 3003

[SwitchA-classifier-except_host_a] quit

# 定义流行为 except_host_a，动作为拒绝通过。

[SwitchA] traffic behavior except_host_a

[SwitchA-behavior-except_host_a] filter deny

[SwitchA-behavior-except_host_a] quit

# 定义策略 for_salary_server，为类 host_a 指定流行为 host_a，为类 except_host_a 指定流行为

except_host_a，并且在配置过程中需要注意两者的先后顺序，以保证应用策略后实际的运行结果

与用户的配置意图一致。

[SwitchA] qos policy for_salary_server

[SwitchA-qospolicy-for_salary_server] classifier host_a behavior host_a

———————————————————————————————————————————————

it之路 365

http://itcto.taobao.com

———————————————————————————————————————————————

资料分享：http://url.cn/RISSiO

http://url.cn/R9gjV6

CCNA CCNP学习群： 321867546 8104903

CCIE学习群：272647966

1-13

[SwitchA-qospolicy-for_salary_server] classifier except_host_a behavior except_host_a

[SwitchA-qospolicy-for_salary_server] quit

# 将策略 for_salary_server 应用到端口 GigabitEthernet 1/0/2 的入方向。

[SwitchA] interface GigabitEthernet 1/0/2

[SwitchA-GigabitEthernet1/0/2] qos apply policy for_salary_server inbound

[SwitchA-GigabitEthernet1/0/2] quit

1.4.5 完整配置

time-range working_time 08:30 to 18:00 working-day

acl number 3000

rule 0 permit tcp source 10.1.4.3 0 destination-port eq www time-range working_time

acl number 3001

rule 0 deny tcp destination-port eq www time-range working_time

acl number 3002

rule 0 permit ip source 10.1.3.1 0 destination 11.1.1.100 0

acl number 3003

rule 0 permit ip destination 11.1.1.100 0

traffic classifier rd_manager_http operator and

if-match acl 3000

traffic classifier host_a operator and

if-match acl 3002

traffic classifier except_host_a operator and

if-match acl 3003

traffic classifier rd_http operator and

if-match acl 3001

traffic behavior rd_manager_http

filter permit

traffic behavior host_a

filter permit

traffic behavior except_host_a

filter deny

traffic behavior rd_http

filter deny

qos policy rd_http

classifier rd_manager_http behavior rd_manager_http

classifier rd_http behavior rd_http

qos policy for_salary_server

classifier host_a behavior host_a

classifier except_host_a behavior except_host_a

interface GigabitEthernet1/0/1

qos apply policy rd_http inbound

———————————————————————————————————————————————

it之路 365

http://itcto.taobao.com

———————————————————————————————————————————————

资料分享：http://url.cn/RISSiO

http://url.cn/R9gjV6

CCNA CCNP学习群： 321867546 8104903

CCIE学习群：272647966

剩余106页未读，继续阅读

network_wxc

粉丝: 0
资源: 1

H3C交换机ACL和QoS配置指南

H3C中低端交换机ACL与QoS配置实战指南

华为5600交换机典型配置详解：版权学习专用

华为多系列交换机典型配置案例解析

H3C ACL和QoS典型配置指导

H3C 中低端以太网交换机 ACL和QoS典型配置指导

H3C网络产品ACL及QoS配置案例

H3C路由器典型配置指导 .rar

H3C交换机典型配置指导（全）

H3C以太网交换机典型配置指导.pdf

H3C策略路由和QOS常见应用介绍及典型组网分析.pdf

最新资源