宝塔服务器面板,一键全能部署及管理,送你10850元礼包,点我领取
3、QoS流策略配置
3.1、创建一个流策略并进入流策略视图,或进入已存在的流策略视图
[Huawei]traffic policy 1 match-order ?
auto Auto order
config Configure order
3.2、在流策略中为指定的流分类配置所需流行为,即绑定流分类和流行为。
[Huawei-trafficpolicy-1]classifier 1 behavior 1
应用流策略后,不能再使用该命令来修改策略中流分类的匹配顺序。必须先清除该策略的应用,再重新创建并指定所需的匹配顺序。
设备支持在创建流策略时指定流策略中多个规则的匹配顺序,匹配顺序包括自动顺序(auto)和配置顺序(config)两种:
如果选择自动顺序,匹配顺序由系统预先指定的流分类类型的优先级决定,该优先级由高到低依次为:基于二层和三层信息流分类 > 基于二层信息流分类 > 基于三层信息流分类。规则优先匹配优先级高的流分类。当某一数据流量同时匹配不同流分类,且对应的流行为存在冲突时,只有流行为优先级高的规则生效。
如果选择配置顺序,匹配顺序由流分类规则的优先级决定,先匹配优先级较高的流分类规则。配置流分类时指定优先级,则数值越小,优先级越高;如果配置流分类时未指定precedence precedence-value,则系统自动为流分类分配一个优先级,其值为:[ (max-precedence + 5)/ 5 ] * 5,其中max-precedence为系统当前流分类优先级中数值最大的优先级。
4、QoS应用流策略配置
4.1、在接口上应用QoS流策略
[Huawei-GigabitEthernet0/0/3]traffic-policy 1 ?
inbound Assign policy to the inbound of an interface
outbound Assign policy to the outbound of an interface
每个接口的每个方向上能且只能应用一个流策略,但同一个流策略可以同时应用在不同接口的不同方向。应用后,系统对流经该接口并匹配流分类中规则的入方向或出方向报文实施策略控制。
4.2、在VLAN上应用QoS流策略
[Huawei-vlan20]traffic-policy 1 ?
inbound Assign policy to the inbound of an interface
outbound Assign policy to the outbound of an interface
每个VLAN的每个方向能且只能应用一个流策略。
应用后,系统对属于该VLAN并匹配流分类中规则的入方向或出方向报文实施策略控制。但是流策略对VLAN 0的报文不生效。
应用流策略需要设备有足够的ACL资源,否则可能导致应用失败。以一个流策略中的if-match占用一条ACL为例,同一个流策略应用到M个接口时,将占用M条ACL资源;将一个流策略应用到VLAN或者全局时,占用与设备接口板数量相等的ACL资源。
4.3、在全局或单板上应用QoS流策略
[Huawei]traffic-policy ?
STRING<1-31> Name of Traffic policy
fast-mode Fast acl mode switch
[Huawei]traffic-policy 1 ?
global Apply specific traffic policy
[Huawei]traffic-policy 1 global ?
inbound Assign policy to the inbound of an interface
outbound Assign policy to the outbound of an interface
5、查看MQC统计信息
display traffic policy statistics { global [ slot slot-id ] | interface interface-type interface-number | vlan vlan-id } { inbound | outbound } [ verbose { classifier-base | rule-base } [ class classifier-name ] ],查看全局、指定单板、指定接口或指定VLAN下应用流策略后的报文统计信息。
部署MQC的注意事项。
1、流行为中,permit动作和其他流动作一起配置时,将依次执行这些动作;deny动作和其他流动作互斥,即使配置其它动作也不会生效(流量统计和流镜像除外)。
2、为匹配ACL规则的报文指定报文过滤动作时,如果此ACL中的rule规则配置为permit,则设备对此报文采取的动作由流行为中配置的deny或permit决定;如果此ACL中的rule规则配置为deny,则无论流行为中配置了deny或permit,此报文都被丢弃。为匹配ACL规则的报文指定其他非报文过滤动作时,如果此ACL中的rule规则配置为deny,则报文被丢弃且流行为动作不生效(流量统计和流镜像除外)。
3、包含remark(重标记) 8021p动作的流策略应用在接口出方向时,出接口VLAN必须工作在tag方式。
4、remark 8021p动作不能与statistic enable同时配置,否则会提示配置失败。
5、重标记的目的MAC地址必须为单播MAC地址。
6、包含remark vlan-id动作的流策略应用在接口出方向时,出接口VLAN必须工作在tag方式。
7、包含remark 8021p inner-8021p、remark local-precedence或remark destination-mac动作的流策略不能应用在出方向。
8、应用包含redirect(重定向) cpu的流策略后,会将符合流分类规则的报文重定向到CPU,可能对系统性能造成影响。请谨慎使用此命令。
9、不能在同一流行为中既配置remark destination-mac又配置以下命令:redirect ip-nexthop ;redirect ip-multihop
10、将流量重定向到接口之后,如果此接口Down了,就在此接口丢包,流量不会切换到原转发路径。
11、二层协议报文的透传也可以通过流策略的重定向到指定接口或者重定向到一个或多个Eth-Trunk来实现。
12、报文同时匹配多个流策略,如果这些流策略的分类规则属于同一类,即匹配规则同属于自定义ACL规则、二层规则或三层规则时,只会有一个流策略生效,生效的优先级与应用的对象有关,生效优先级:接口>VLAN>全局。
在同一视图下应用不同的流策略时,按照配置顺序生效。
如果这些流策略的分类规则不属于同一类,对于彼此不冲突的动作,流策略都会生效;对于彼此冲突的动作,流策略生效优先级与规则有关,生效优先级:自定义ACL规则>二层规则+三层规则>二层规则>三层规则。
建议用户按照从高到低的优先级顺序配置,否则可能会导致流策略不能立即生效。应用流策略需要设备有足够的ACL资源,否则可能导致应用失败。
以一个流策略中的if-match占用一条ACL为例,同一个流策略应用到M个接口时,将占用M条ACL资源;应用到L个VLAN且设备上存在N块接口板时,将占用L*N条ACL规则;应用到全局且设备上存在N块接口板时,将占用N条ACL规则。
if-match规则占用ACL资源的情况参考下表1。
ACL与traffic policy关系
ACL与traffic policy经常组合使用。traffic policy定义符合ACL的流分类,然后再定义符合流分类的行为,即动作,例如允许通过,拒绝通过等等。
ACL里面的permit/deny与traffic policy中的behavior的permit/deny组合有如下四种情况:
交换机目前默认报文都是permit的,如果只是要求网段之间不能访问的话,ACl里只要配置想要deny的报文就可以了。
如果最后多添加一条rule permit命令,此时所有报文都会命中此规则,如果在流行为behavior中配置deny,将会过滤所有报文,导致全部业务中断。
为什么ACL规则中包含TCP或UDP端口号范围段range时下发流策略通常会出现错误提示:Add rule to chip failed或者Error: Adding rule failed.
主要原因包括:
1、流策略应用在了outbound方向(V200R002C00及之前版本)
V200R002C00及之前版本,Outbound方向不支持指定端口范围段range,如果ACL规则中包含range,对应流策略在outbound方向应用时,就会出现上述错误提示。
2、应用的包含range的规则已经达到或超过规格
各系列和型号不同,支持的TCP或UDP端口号范围段range不同,目前支持最多32个TCP或UDP端口号范围段range,当在inbound方向应用包含range规则超过规格时都会下发失败,出现上述错误提示。
支付宝扫一扫
微信扫一扫
