配置流分类
背景信息
流分类各规则之间属于并列关系,只要匹配规则不冲突,都可以在同一流分类中配置。若匹配规则冲突,在流策略中绑定流行为和该流分类时系统会提示错误,应用流策略将不能生效。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令traffic classifier classifier-name [ operator { and | or } ] [ precedence precedence-value ],创建一个流分类并进入流分类视图,或进入已存在的流分类视图。and表示流分类中各规则之间关系为逻辑“与”,指定该逻辑关系后:
当流分类中有ACL规则时,报文必须匹配其中一条ACL规则以及所有非ACL规则才属于该类;
当流分类中没有ACL规则时,则报文必须匹配所有非ACL规则才属于该类。
缺省情况下,流分类中各规则之间的关系为逻辑“或”。
- 请根据实际情况定义流分类中的匹配规则。
if-match ip-precedence和if-match tcp命令仅对IPv4报文生效。
X系列单板不支持配置包含高级ACL中的ttl-expired字段的流分类规则。
当流分类匹配if-match ipv6 acl { acl-number | acl-name }时,X系列单板不支持add-tag vlan-id vlan-id、remark 8021p [ 8021p-value | inner-8021p ]、remark cvlan-id cvlan-id、remark vlan-id vlan-id、mac-address learning disable。
匹配规则
命令
说明
外层VLAN ID或基于QinQ报文内外两层Tag的VLAN ID
if-match vlan-id start-vlan-id [ to end-vlan-id ] [ cvlan-id cvlan-id ]
-
QinQ报文内外层VLAN ID
if-match cvlan-id start-vlan-id [ to end-vlan-id ] [ vlan-id vlan-id ]
-
VLAN报文802.1p优先级
if-match 8021p 8021p-value &<1-8>
无论流分类中各规则间关系是“或”还是“与”,执行一次命令,如果输入多个802.1p值,报文只需匹配其中一个802.1p值就匹配该规则。
QinQ报文内层VLAN的802.1p优先级
if-match cvlan-8021p 8021p-value &<1-8>
-
丢弃报文
if-match discard
包含该流分类的报文只能与流量统计和流镜像两种动作绑定。
QinQ报文双层Tag
if-match double-tag
-
MPLS报文EXP优先级
if-match mpls-exp exp-value &<1-8>
无论流分类中各规则间关系是“或”还是“与”,执行一次命令,如果输入多个MPLS EXP值,报文只需匹配其中一个MPLS EXP值就属于该类。
SA系列单板和X系列单板不支持匹配MPLS报文EXP优先级。
目的MAC地址
if-match destination-mac mac-address [ [ mac-address-mask ] mac-address-mask ]
-
源MAC地址
if-match source-mac mac-address [ [ mac-address-mask ] mac-address-mask ]
-
以太网帧头中协议类型字段
if-match l2-protocol { arp | ip | mpls | rarp | protocol-value }
-
所有报文
if-match any
-
IP报文的DSCP优先级
if-match [ ipv6 ] dscp dscp-value &<1-8>
无论流分类中各规则间关系是“或”还是“与”,执行一次命令,如果输入多个DSCP值,报文只需匹配其中一个DSCP值就匹配该规则。
不能在一个逻辑关系为“与”的流分类中同时配置if-match [ ipv6 ] dscp和if-match ip-precedence。
IP报文的IP优先级
if-match ip-precedence ip-precedence-value &<1-8>
无论流分类中各规则间关系是“或”还是“与”,执行一次命令,如果输入多个IP优先级,报文只需匹配其中一个IP优先级就匹配该规则。
不能在一个逻辑关系为“与”的流分类中同时配置if-match [ ipv6 ] dscp和if-match ip-precedence。
报文三层协议类型
if-match protocol { ip | ipv6 }
-
IPv6下一报文头类型
if-match ipv6 next-header header-number first-next-header
ET1D2X12SSA0单板不支持Prefix的长度为(64,128)之间的路由。
TCP报文SYN Flag
if-match tcp syn-flag { syn-flag-value | ack | fin | psh | rst | syn | urg }
-
入接口
if-match inbound-interface interface-type interface-number
包含该流分类的流策略不能应用在出方向。
包含该流分类的流策略不能应用在接口视图。
出接口
if-match outbound-interface interface-type interface-number
X系列单板不支持将包含该流分类的流策略应用在入方向。
包含该流分类的流策略不能应用在接口视图。
ACL规则
if-match acl { acl-number | acl-name }
- 使用ACL作为流分类规则,请先配置相应的ACL规则。
- 无论流分类中各规则间关系是“或”还是“与”,执行一次命令,如果某ACL规则中有多个rule,报文只需匹配其中一个rule就匹配该ACL规则。
- 如果ACL的规则指定了参数vpn-instance,那么基于该ACL进行分类的流分类对应的流策略将不生效。
ACL6规则
if-match ipv6 acl { acl-number | acl-name }
使用ACL6作为流分类规则,请先配置相应的ACL6规则。
如果ACL6的规则指定了参数vpn-instance,那么基于该ACL6进行分类的流分类对应的流策略将不生效。
流ID
if-match flow-id flow-id
包含if-match flow-id匹配规则的流分类和包含remark flow-id动作的流行为应在不同的流策略中使用。
包含if-match flow-id匹配规则的流策略只能应用在接口、VLAN、VLANIF接口、单板、全局的入方向。
SA系列单板不支持配置匹配流ID。
VXLAN内层报文信息
if-match vxlan [ transit ] vni vni-id
包含该流分类的流策略不能应用在出方向上。
当流分类中包含此匹配规则时,流行为只支持流量监管、报文过滤和流量统计。
- 执行命令quit,退出流分类视图。
