所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R011C10 配置指南-QoS

本文档介绍了如何配置QoS功能,主要包括MQC配置、优先级映射配置、流量监管配置、流量整形配置、接口限速配置、拥塞避免配置、拥塞管理配置、报文过滤配置、重定向配置、流量统计配置、基于ACL的简化流策略配置和HQoS配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置基于ACL的报文过滤

配置基于ACL的报文过滤

通过配置基于ACL的报文过滤,对匹配ACL规则报文进行禁止/允许动作,进而实现对网络流量的控制。

背景信息

traffic-filtertraffic-secure命令都是用来配置报文过滤功能,不建议在设备上同时配置。可以根据以下原则选用traffic-filtertraffic-secure命令配置报文过滤:
  • 如果traffic-filtertraffic-secure关联的ACL没有同时被其他基于ACL的简化流策略所关联,且报文不会同时匹配报文过滤和其他简化流策略关联的ACL规则时,traffic-filtertraffic-secure可以任选其一。

  • 如果traffic-filtertraffic-secure关联的ACL同时被其他基于ACL的简化流策略所关联,或者报文同时匹配了报文过滤和其他简化流策略关联的ACL时,traffic-filtertraffic-secure的区别如下:

    • 对于S5720EI、S5720HI、S6720EI、S6720S-EI,当traffic-secure和其他基于ACL的简化流策略同时配置,且ACL规则中的动作为deny时,仅traffic-securetraffic-mirrortraffic-statistics命令生效,且报文被过滤。

    • 对于S5720EI、S5720HI、S6720EI、S6720S-EI,当traffic-secure和其他基于ACL的简化流策略同时配置,且ACL规则中的动作为permit时,traffic-secure命令和其他基于ACL的简化流策略均生效。

    • 对于S1720GFR、S1720GW-E、S1720GWR-E、S1720X-E、S2720EI、S2750EI、S5700LI、S5700S-LI、S5710-X-LI、S5720LI、S5720S-LI、S5720SI、S5720S-SI、S5730SI、S5730S-EI、S6720LI、S6720S-LI、S6720SI、S6720S-SI,traffic-securetraffic-redirect同时配置,无论ACL规则中的动作为deny还是permit,仅traffic-redirect生效。

    • 对于S1720GFR、S1720GW-E、S1720GWR-E、S1720X-E、S2720EI、S2750EI、S5700LI、S5700S-LI、S5710-X-LI、S5720LI、S5720S-LI、S5720SI、S5720S-SI、S5730SI、S5730S-EI、S6720LI、S6720S-LI、S6720SI、S6720S-SI,traffic-secure和除traffic-redirect以外的其他基于ACL的简化流策略同时配置,且ACL规则中的动作为deny时,仅traffic-securetraffic-mirrortraffic-statistics命令生效,且报文被过滤。

    • 对于S1720GFR、S1720GW-E、S1720GWR-E、S1720X-E、S2720EI、S2750EI、S5700LI、S5700S-LI、S5710-X-LI、S5720LI、S5720S-LI、S5720SI、S5720S-SI、S5730SI、S5730S-EI、S6720LI、S6720S-LI、S6720SI、S6720S-SI,traffic-secure和除traffic-redirect以外的其他基于ACL的简化流策略同时配置,且ACL规则中的动作为permit时,traffic-secure命令和其他基于ACL的简化流策略均生效。

    • traffic-filter和其他基于ACL的简化流策略同时配置,且ACL规则中的动作为deny时,仅traffic-filtertraffic-mirrortraffic-statistics命令生效,且报文被过滤。

    • traffic-filter和其他基于ACL的简化流策略同时配置,且ACL规则中的动作为permit时,先配置的简化流策略生效。

说明:

S2750EI、S5700-10P-LI-AC和S5700-10P-PWR-LI-AC使能IPv4报文三层硬件转发功能后,不支持配置traffic-secure

对于S5720EI、S5720HI、S6720EI、S6720S-EI,如果ACL中rule规则配置为deny且基于该ACL的traffic-filter配置在出方向,当报文匹配该ACL规则时,则会导致由CPU发送的ICMP、OSPF、BGP、RIP、SNMP、Telnet等协议控制报文被丢弃,相关协议的功能会受到影响。

说明:

在全局或VLAN上实现的基于ACL的报文过滤,ACL范围为2000~5999。在NAC网络中用于对用户访问控制的基于ACL的报文过滤,ACL范围为6000~9999,参考traffic-filter acl

操作步骤

  • 在全局或VLAN上配置报文过滤
    1. 执行命令system-view,进入系统视图。
    2. 请根据实际需要选择进行如下配置:

      • 执行命令traffic-filter [ vlan vlan-id ] inbound acl { [ ipv6 ] { bas-acl | adv-acl | name acl-name } | l2-acl | user-acl } [ rule rule-id ],对匹配单个ACL规则的入方向的报文进行过滤。

      • 执行命令traffic-secure [ vlan vlan-id ] inbound acl { bas-acl | adv-acl | l2–acl | name acl-name } [ rule rule-id ],对匹配单个ACL规则的入方向的报文进行过滤。

      • 执行命令traffic-filter [ vlan vlan-id ] outbound acl { [ ipv6 ] {bas-acl | adv-acl | name acl-name } | l2-acl } [ rule rule-id ],对匹配单个ACL规则的出方向的报文进行过滤。

      • 执行命令traffic-filter [ vlan vlan-id ] { inbound | outbound } acl { l2-acl | name acl-name } [ rule rule-id ] acl { bas-acl | adv-acl | name acl-name } [ rule rule-id ]或traffic-filter [ vlan vlan-id ] { inbound | outbound } acl { bas-acl | adv-acl | name acl-name } [ rule rule-id ] acl { l2-acl | name acl-name } [ rule rule-id ],对同时匹配二层ACL和三层ACL规则的报文进行过滤。

      • 执行命令traffic-secure [ vlan vlan-id ] inbound acl { l2–acl | name acl-name } [ rule rule-id ] acl { bas-acl | adv-acl | name acl-name } [ rule rule-id ],对同时匹配二层ACL和三层ACL规则的入方向的报文进行过滤。

  • 在接口上配置报文过滤
    1. 执行命令system-view,进入系统视图。
    2. 执行命令interface interface-type interface-number,进入接口视图。
    3. 请根据实际需要选择进行如下配置:

      • 执行命令traffic-filter inbound acl { [ ipv6 ] { bas-acl | adv-acl | name acl-name } | l2-acl | user-acl } [ rule rule-id ],对匹配单个ACL规则的入方向的报文进行过滤。

      • 执行命令traffic-secure inbound acl { bas-acl | adv-acl | l2–acl | name acl-name } [ rule rule-id ],对匹配单个ACL规则的入方向的报文进行过滤。

      • 执行命令traffic-filter outbound acl { [ ipv6 ] {bas-acl | adv-acl | name acl-name } | l2-acl } [ rule rule-id ],对匹配单个ACL规则的出方向的报文进行过滤。

      • 执行命令traffic-filter { inbound | outbound } acl { l2-acl | name acl-name } [ rule rule-id ] acl { bas-acl | adv-acl | name acl-name } [ rule rule-id ]或traffic-filter { inbound | outbound } acl { bas-acl | adv-acl | name acl-name } [ rule rule-id ] acl { l2-acl | name acl-name } [ rule rule-id ],对同时匹配二层ACL和三层ACL规则的报文进行过滤。

      • 执行命令traffic-secure inbound acl { l2–acl | name acl-name } [ rule rule-id ] acl { bas-acl | adv-acl | name acl-name } [ rule rule-id ],对同时匹配二层ACL和三层ACL规则的入方向的报文进行过滤。

翻译
下载文档
更新时间:2019-03-28

文档编号:EDOC1000178152

浏览量:14384

下载量:880

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页