应用流策略

前置任务

在应用流策略之前，请完成配置流策略。

操作步骤

请判断需要通过流策略控制的业务流量是通过物理接口、VLAN、VLANIF接口，还是全局或单板，从而选择对应的视图应用流策略。在物理接口、VLAN、全局或单板上应用流策略，可以控制通过物理接口、VLAN、全局或单板的二层流量和三层流量；在VLANIF接口上应用流策略，仅可以控制通过该VLANIF接口的三层转发流量。

• 在接口上应用流策略

  1. 执行命令system-view，进入系统视图。

  2. 执行命令interface interface-type interface-number[.subinterface-number ]，进入接口视图或子接口视图。

     • 仅E系列、X系列和S系列中的SC单板支持配置以太网子接口。单板详情请参见《硬件描述》中的单板分类。

     • 对于上述系列单板的二层接口，仅hybrid和trunk类型接口支持配置二层以太网子接口。

     • 对于上述系列单板的二层接口，执行命令undo portswitch切换为三层接口后，支持配置三层以太网子接口。

     • S系列中的SA单板不支持创建以太网子接口，也不支持转发IP流量到其它单板的以太网子接口。

     • 建议用户先将成员接口加入Eth-Trunk后，再配置Eth-Trunk子接口。只有当成员接口所在的单板系列均支持配置以太网子接口时，Eth-Trunk子接口才能配置成功。

     • VCMP的角色是Client时，不能配置VLAN终结子接口。

  3. 执行命令traffic-policy policy-name { inbound | outbound }，在接口或子接口视图上应用流策略。

     每个接口的每个方向上能且只能应用一个流策略，但同一个流策略可以同时应用在不同接口的不同方向。应用后，系统对流经该接口并匹配流分类中规则的入方向或出方向报文实施策略控制。

     • 子接口仅支持inbound参数。

     • 建议不要在Untagged类型接口出方向上应用包含有remark 8021p、remark cvlan-id、remark vlan-id等动作的流策略，否则，可能导致报文内容出错。

     • ET1D2X12SSA0、ET1D2X48SEC0、SC系列单板有2N个接口，如果1～N号中的接口与N+1～2N号中的接口加入同一Eth-Trunk或VLAN，Eth-Trunk或VLAN出方向使用car动作进行限速，Eth-Trunk或VLAN的下行实际通过流量是配置CAR值的限速的2倍。

     • 在X系列单板中，如果不同的接口加入同一Eth-Trunk或VLAN，Eth-Trunk或VLAN出方向使用car动作进行限速，且这些接口的ACL资源分散在N个组中进行统计（执行命令display acl resource查看），那么Eth-Trunk或VLAN的下行实际通过流量是配置CAR值的限速的N倍。

     • 应用流策略需要设备有足够的ACL资源，否则会导致应用失败。以一个流策略中的if-match占用一条ACL为例，同一个流策略应用到M个接口时，将占用M条ACL资源；应用到L个VLAN且设备上存在N块接口板时，将占用L*N条ACL规则；应用到全局且设备上存在N块接口板时，将占用N条ACL规则。if-match规则占用ACL资源的情况参考“MQC配置-配置注意事项”中的表3。

• 在VLAN上应用流策略

  1. 执行命令system-view，进入系统视图。

  2. 执行命令vlan vlan-id，进入VLAN视图。

  3. 执行命令traffic-policy policy-name { inbound | outbound }，在VLAN上应用流策略。

     每个VLAN的每个方向能且只能应用一个流策略。

     应用后，系统对属于该VLAN并匹配流分类中规则的入方向或出方向报文实施策略控制。但是流策略对VLAN 0的报文不生效。

• 在VLANIF接口上应用流策略

  1. 执行命令system-view，进入系统视图。

  2. 执行命令interface vlanif vlan-id，进入VLANIF接口视图。

  3. 执行命令traffic-policy policy-name { inbound | outbound }，在VLANIF接口上应用流策略。

     每个VLANIF接口的每个方向上能且只能应用一个流策略，但同一个流策略可以同时应用在不同VLANIF接口的不同方向。

     对于应用流策略的VLANIF接口，其对应的VLAN不能是Super-VLAN或MUX VLAN。

     对于X系列单板，应用在VLANIF接口上的流策略只对相应VLANIF下的单播报文生效。对于其它单板，应用在VLANIF接口上的流策略只对相应VLANIF下的单播报文及三层组播报文生效。

     如果流策略包含的流行为配置了如下动作，则不能在VLANIF接口的入方向上应用该流策略：

     • remark vlan-id
     • remark cvlan-id
     • add-tag vlan-id
     • remark 8021p
     • remark flow-id
     • mac-address learning disable

     如果流策略包含的流行为配置了如下动作，则不能在VLANIF接口的出方向上应用该流策略：

     • add-tag vlan-id
     • remark flow-id
     • mac-address learning disable
• 在全局或单板上应用流策略

  1. 执行命令system-view，进入系统视图。

  2. 执行命令traffic-policy policy-name global { inbound | outbound } [ slot slot-id ]，在全局或单板上应用流策略。

     全局或单板的每个方向上能且只能应用一个流策略，如果在全局某方向应用了流策略，则不能在单板的该方向上再次应用流策略；指定单板在某方向应用流策略后，也不能在全局的该方向上再次应用流策略。