MQC配置注意事项
涉及网元
无需其他网元配合。
License支持
MQC是交换机的基本特性,无需获得License许可即可应用此功能。
特性依赖和限制
- MQC的规格如表2-2所示。
- 应用流策略需要设备有足够的ACL资源,否则会导致应用失败。以一个流策略中的if-match占用一条ACL为例,同一个流策略应用到M个接口时,将占用M条ACL资源;应用到L个VLAN且设备上存在N块接口板时,将占用L*N条ACL规则;应用到全局且设备上存在N块接口板时,将占用N条ACL规则。if-match规则占用ACL资源的情况参考表2-3。表2-3 流分类规则占用ACL资源介绍
流分类规则
ACL资源占用情况说明
if-match vlan-id start-vlan-id [ to end-vlan-id ] [ cvlan-id cvlan-id ]
if-match cvlan-id start-vlan-id [ to end-vlan-id ] [ vlan-id vlan-id ]
分段下发,占用多条ACL资源,分段规则可以通过命令display acl division start-id to end-id查看。
if-match acl { acl-number | acl-name }
if-match ipv6 acl { acl-number | acl-name }
- 上行:包含range port-start port-end的rule规则,在range资源耗尽时,会分段下发,导致一条规则占用多条ACL资源。包含有tcp-flag established的rule规则,每条规则占用2条ACL资源。(X系列单板与下行一致)
- 下行:包含range port-start port-end参数的rule规则分段下发,占用多条ACL资源,其他情况一条rule规则占用一条资源。分段规则可以通过命令display acl division start-id to end-id查看。
其他if-match规则
占用一条ACL资源。
V200R013C02及后续版本中,应用在接口入方向的流策略所占用的资源,通常可以与单板上其他在入方向应用相同流策略的接口共享,不支持ACL资源共享的情况包括:- 流行为配置car或者statistic enable
- 除X系列以外的单板,支持配置扩展表项空间资源模式
- X系列中不支持配置扩展表项空间资源模式的单板,流分类配置IPv6规则(例如if-match ipv6 dscp、if-match protocol ipv6、if-match ipv6 acl)
- 除X系列以外的单板,流行为配置remark 8021p、mac-address learning disable、add-tag vlan-id、remark flow-id、remark cvlan-id、redirect vpn-instance或者remark vlan-id
- 执行命令display traffic-policy applied-record [ policy-name ],查看应用在接口入方向的流策略是否支持ACL资源共享。
- 执行命令display acl resource [ slot slot-id ],查看ACL资源信息。
- 当一个流策略在多个视图下应用时:高优先级视图下的流策略生效。视图的生效优先级从高到低为:VLANIF接口视图 > WLAN-ESS接口视图/SSID模板视图 > 物理接口子接口视图/Eth-Trunk子接口视图 > 物理接口视图/Eth-Trunk接口视图/端口组视图 > VLAN视图 > 全局视图。
当报文同时匹配多个流策略,或同一流策略的多个流分类+流行为时,生效的流策略或流分类+流行为如表2-4和表2-5所示:
表2-4 流分类的分类规则属于同一类报文匹配不同视图下不同流策略
报文匹配同一视图下同方向的同一流策略的多个流分类+流行为
仅生效优先级最高的视图下的一个流策略生效。
只有该流策略的配置信息中第一个流分类+流行为生效。
在流策略视图下执行命令display this查看该流策略的配置信息,配置信息中的第一个流分类+流行为即为最终生效的流分类+流行为。
表2-5 流分类的分类规则不属于同一类单板
报文匹配不同视图下的不同流策略
报文匹配同一视图下同方向的同一流策略的多个流分类+流行为
X系列单板
仅生效优先级最高的视图下的一个流策略生效。
只有该流策略的配置信息中第一个流分类+流行为生效。
在流策略视图下执行命令display this查看该流策略的配置信息,配置信息中的第一个流分类+流行为即为最终生效的流分类+流行为。
除X系列单板以外的单板
若流动作彼此不冲突,则流策略都会生效。
若流动作产生冲突:- 当流策略中流分类的匹配顺序为配置顺序(config),仅生效优先级最高的视图下的一个流策略生效。
- 当流策略中流分类的匹配顺序为自动顺序(auto),流分类规则生效优先级较高的流策略生效。流分类规则的生效优先级为:二层规则+三层规则 > 高级ACL6规则 > 基本ACL6规则 > 二层规则 > 三层规则 > 自定义ACL规则。
若流动作彼此不冲突,则流分类+流行为都会生效,流动作都会执行。
若流动作产生冲突:- 当流策略中流分类的匹配顺序为配置顺序(config),在流策略视图下执行命令display this查看该流策略的配置信息,配置信息中的第一个流分类+流行为即为最终生效的流分类+流行为。
- 当流策略中流分类的匹配顺序为自动顺序(auto),流分类规则生效优先级较高的流分类+流行为生效。流分类规则的生效优先级为:二层规则+三层规则 > 高级ACL6规则 > 基本ACL6规则 > 二层规则 > 三层规则 > 自定义ACL规则。
建议用户按照从高到低的优先级顺序配置,否则可能会导致流策略不能立即生效。流分类的分类规则详见“MQC简介”。
- X系列单板(除X1E、X2H、X5H、X6H单板以外)上配置的ACL6规则应用为硬件ACL时的约束请参见《S12700, S12700E V200R019C10 配置指南-安全配置》 ACL配置中的配置高级ACL6。
匹配同一个ACL的MQC流策略和基于ACL的简化流策略应用到同一对象时,基于ACL的简化流策略优先生效。以下情况例外:使用traffic-secure命令配置基于ACL的报文过滤,可以与匹配同一个ACL的MQC流策略同时生效。
如果ACL规则匹配了报文的VPN实例名称,则流策略下发不成功。
如果流策略因交换机上ACL资源不足而应用失败,建议删除应用失败的流策略配置。否则如果交换机保存配置并且重启,其他已正常运行的业务的配置会恢复失败。
如果需要删除的流策略已经应用到全局、接口或VLAN,则不允许直接删除该策略,需要先在相应的视图下执行undo traffic-policy命令取消对该策略的应用,然后再到全局执行undo traffic policy命令完成删除。如果没有应用,则可以直接删除。
- X系列单板(除X1E、X2H、X5H、X6H单板以外)只支持在全局、VLAN、物理接口或者Eth-Trunk接口下应用ACL6,不支持在其他逻辑接口上应用ACL6。
V200R009C00版本之前的设备,VLANIF接口不支持应用流策略。V200R009C00及之后版本的设备,VLANIF接口支持应用流策略。
- 目的IP是本机的报文会上送CPU,另外一些协议报文对应的功能使能后也会上送CPU,比如BGP、OSPF、LACP使能后也会上送CPU处理。上送CPU的报文同时匹配流策略中的流分类规则,如果CPCAR和流策略动作冲突,CPCAR生效。
- 若对入方向流量同时配置MQC和VLAN Mapping功能:
- 除X系列以外的单板在流行为中配置重定向报文到VPN实例,MQC匹配映射前的VLAN ID。
- X系列单板在流行为中配置灵活QinQ、VLAN Mapping、重标记流ID、重标记VLAN报文的802.1p优先级或禁止MAC地址学习,MQC匹配映射前的VLAN ID。
- 其他情况下,MQC匹配映射后的VLAN ID。
- 子接口下应用流策略的相关限制:
- 流行为中不能存在修改VLAN信息的相关动作,譬如remark 8021p、remark cvlan-id、remark vlan-id、add-tag vlan-id,否则流策略会应用失败。
- 流策略应用在子接口下,设备默认匹配报文的内层或外层VLAN(跟子接口的具体配置相关,例如子接口下配置了qinq termination pe-vid ce-vid,则同时匹配内层和外层VLAN),此时如果在流分类中也配置了匹配内层或外层VLAN的规则,则会存在冲突,导致流策略应用失败。
