1、1、華為交換機端口鏡像設置<HUAWEI> system-view HUAWEI observe-port 1 interface gigabitethernet 1/0/1 （配置觀察端口）HUAWEI interface gigabitethernet 2/0/1 HUAWEI-GigabitEthernet2/0/1 port-mirroring to observe-port 1 inbound（配置鏡像端口）2、華為交換機ACL控制列表和包過濾設置ACL控制列表種類：、標準訪問控制列表：只能使用源地址描述數據，表明是允許還是拒絕命令格式：ac

2、l XXXrule permit/deny source source_address source_wildcard/anyeg:acl 1199rule permit source 192.168.1.0 0.0.0.255(允許源地址為192.168.1.0網段的數據包通過)、擴展訪問控制列表：在標準控制列表的基礎上添加基于協議和端口號的控制3、流策略（Traffic Policy）用于QoS復雜流分類，實現豐富的QoS策略。Traffic Policy分為三部分：、流分類（Classifier）模板：定義流量類型。一個Classifier可以配置一條或多條if-match語句，if-m

3、atch語句中可以引用ACL規則。不同的Classifier模板可以應用相同的ACL規則。一個ACL規則可以配置一個或多個Rule語句。、流動作（Behavior）模板：指，用于定義針對該類流量可實施的流動作。一個Behavior可以定義一個或多個動作。、流策略（Traffic Policy）模板：將流分類Classifier和流動作Behavior關聯，成為一個Classifier & Behavior對。當Traffic Policy模板設置完畢之后，需要將Traffic Policy模板應用到接口上才能使策略生效。Classifier & Behavior對之間的匹配順序

4、一個Traffic-policy中可以配置一個或多個Classifier & Behavior對。當收到一個報文，做復雜流分類處理時，會按照Traffic-policy中Classifier & Behavior對的配置順序進行匹配。如果命中，則停止匹配；如果不命中，則匹配后面的Classifier；如果是最后一個Classifier，且還不命中，則報文走正常的轉發處理，類似于沒有應用流分類策略。Classifier之間的順序可以通過命令行classifier classifier-name behavior behavior-name 

5、precedenceprecedence修改。例如，Traffic-policy T中配置了A、B、C三個Classifier：#traffic policy T classifier A behavior A classifier B behavior B classifier C behavior C#缺省情況下，A、B、C三個Classifier的順序分別是1、2和3，與配置的順序相同。如果要將A排在最后，可以執行如下命令： classifier A behavior A precedence 4結果是：#traffic policy T classifier B behavior B

6、classifier C behavior C classifier A behavior A precedence 4#此時，B之前的順序號1沒有被占用，因此可以在B之前添加一個Classifier（假設是D），則可執行如下命令實現。classifier D behavior D precedence 1結果是：#traffic policy T classifier D behavior D precedence 1 classifier B behavior B classifier C behavior C classifier A behavior A precedence 4#如果

7、按如下方法，不指定precedence值的方式添加D，classifier D behavior D結果如下：#traffic policy T classifier B behavior B classifier C behavior C classifier A behavior A precedence 4 classifier D behavior D#If-match語句之間的匹配順序由于Classifier中配置的是一個或多個if-match語句，按照if-match語句配置順序進行匹配。報文命中if-match語句后，是否執行對應的behavior動作，取決于If-match語句

8、之間是And還是Or邏輯。If-match語句之間的And和Or邏輯如果流分類模板下配置了多個if-match語句，則這些語句之間有And和Or兩種邏輯關系：Or邏輯：數據包只要匹配該流分類下的任何一條if-match語句定義的規則就屬于該類。And邏輯：數據包必須匹配該流分類下的全部if-match語句才屬于該類。流策略的執行過程（if-match語句間是Or邏輯）圖2 流策略的執行過程（Or邏輯） 如圖2，針對每個Classifier，如果If-match語句之間是Or邏輯，按照if-match語句配置順序進行匹配，數據包一旦命中某個if-match語句：如果命中的if

9、-match語句沒有引用ACL，則執行behavior定義的動作。如果命中的if-match語句引用了ACL，且命中的是permit規則，則執行behavior定義的動作；命中的是deny規則，則直接丟棄報文。如果數據包沒有命中任何if-match語句，則不支持任何動作，繼續處理下一個Classifier。流策略的執行過程（if-match語句間是And邏輯）如果If-match語句之間是And邏輯，設備先會將這些if-match語句進行合并（這里的“合并”相當于集合的乘法操作），再按照Or邏輯的處理流程進行處理。對于引用ACL的if-match語句，不是將ACL內部的各條Rule進行合并，而

10、是逐條與其他if-match語句進行合并。因此值得注意的是：And邏輯中if-match語句的順序不影響匹配結果，但ACL中Rule的順序仍然會影響匹配結果。例如，某個流策略下配了如下一個classifier：#acl 3000 rule 5 permit ip source 1.1.1.1 0 rule 10 deny ip source 2.2.2.2 0#traffic classifier example operator and if-match acl 3000 if-match dscp af11#則設備首先進行if-match語句的合并，合并結果相當于：#acl 3000 ru

11、le 5 permit ip source 1.1.1.1 0 dscp af11 rule 10 deny ip source 2.2.2.2 0 dscp af11#traffic classifier example operator or if-match acl 3000#traffic behavior example remark dscp af22#traffic policy example share-mode classifier example behavior example #interface GigabitEthernet2/0/0 traffic-policy

12、 P inbound#然后，再針對合并結果按Or邏輯的執行過程進行處理。處理結果是從GE2/0/0收到的源IP為1.1.1.1/32且dscp=10的報文重標記為AF22，源IP為1.1.1.2/32且dscp=10的報文丟棄，其他報文由于沒有匹配任何規則，直接轉發。對于And邏輯，系統默認License中最多只允許存在一條引用ACL的if-match語句；而Or邏輯中，可以有多條引用ACL的if-match語句。如果更改License使And邏輯允許存在多條引用ACL的if-match語句，則這些if-match語句的合并規則是：permit + permit = permitpermit

13、+ deny = denydeny + permit = denydeny + deny = denyIf-math語句引用ACL時的匹配過程如果if-match語句指定的是ACL，需要在ACL的多個Rule語句中進行匹配：首先查找用戶是否配置了該ACL（因為流分類允許引用不存在的ACL），命中的第一條則停止匹配，不再繼續查找后續的規則。 說明：當Rule中的動作為Deny時，如果behavior是鏡像或采樣，即使對于丟棄的報文，也會執行behavior。ACL中可以指定permit或deny規則，它與ACL所在Classifier所對應的Behavior中的動作的關系是：ACL為d

14、eny，則不關心Behavior，報文最終動作是deny；ACL為permit，則執行Behavior，報文最終動作是Behavior。例如以下配置的匹配結果是：源地址是50.0.0.1/24的報文IP優先級被標記為7；源地址是60.0.0.1/24的報文被丟棄；源地址是70.0.0.1/24的報文IP優先級不變。acl 3999 rule 5 permit ip source 50.0.0.0 0.255.255.255 rule 10 deny ip source 60.0.0.0 0.255.255.255 traffic classifier acl if-match acl 3999 traffic behavior test remark ip-pre 7 traffic policy test classifier acl behavior test