59系列交換機ACL&QoS功能介紹及相關配置主講：王克川日期：Sunday,April23,2023主要內容一、ACL(AccessControlList)的基本原理二、59系列交換機中ACL功能及相關配置三、QoS(QuanlityofService)的基本原理四、59系列交換機中QoS的功能及相關配置訪問控制列表（AccessControlList）：一個有序的語句(rule)集，它通過匹配報文中的信息與訪問列表的參數，來允許或拒絕報文通過某個接口。ACL是應用在路由器或交換機接口的指令列表。這些指令告訴路由器或三層交換機哪些分組可以接收以及哪些分組需要拒絕。接收和拒絕基于一定的條件，例如源地址、目標地址及TCP/IP端口號等。什么是ACL限制網絡流量，提高網絡性能。例如，ACL能夠基于分組的協議，指定一定分級的級別可被路由器優先處理。提供流量控制。提供網絡訪問的基本安全級別。例如，ACL允許一個主機訪問你的網絡的一部分，而阻止其它主機訪問相同區域。在路由器/交換機接口上配置ACL決定哪種流量被轉發或被阻塞。

ACL的作用創建一個ACL時順序是至關重要的當流量進入應用了ACL的接口時，交換機內部的操作系統軟件會將分組跟ACL中定義的規則相比較。比較判斷是按照網絡管理員在ACL中輸入的語句順序執行的。當比較分組時，一次一句按順序比較，直到與某一條語句匹配。一旦與某一條語句匹配，就執行匹配的語句行中所指定的動作，不再檢查其他條件語句。如果所有的條件語句都沒有被匹配，則最后將強加一條拒絕全部流量的暗含語句。即使這條拒絕全部流量的語句在ACL中最后一行是看不到的，缺省的情況下在最后也是拒絕所有的流量。

ACL創建順序

當一個分組進入某一個接口時，會首先檢查該分組是否可路由或可橋接，然后會檢查是否在入接口上應用了ACL。如果有ACL，就將該分組與列表中的條件語句相比較。如果分組被允許通過，就繼續檢查路由選擇表條目以決定轉發到的目的接口。

ACL工作過程主要內容一、ACL(AccessControlList)的基本原理二、59系列交換機中ACL功能及相關配置三、QoS(QuanlityofService)的基本原理四、59系列交換機中QoS的功能及相關配置59系列交換機中對ACL的控制只在數據流進入交換機的時候作了控制，即只有in單方向的，在out方向無法作ACL控制。當ACL表中無任何規則時，應用到端口上表示permitany當ACL中存在一條或一條以上規則，則表中默認最后一條規則為denyany一條ACLrule配置完成后，必須退出ACL配置模式該條目方可生效ACL配置注意事項

訪問控制列表分類編號范圍訪問控制列表種類說明1－991000－1499IP標準訪問控制列表(standardACL)基于IP的標準訪問控制列表，只對源IP地址進行過濾100－1991500－1999IP擴展訪問控制列表(extendACL)基于IP的擴展訪問控制列表，IP包頭的五元組和其它部分協議控制信息進行過濾200－299二層訪問控制列表(linkACL)基于以太網二層數據包頭和部分二層信息進行過濾300－349混合訪問控制列表(hybridACL)基于IP包頭的五元組和部分以太網二層信息進行過濾2000-2499/2500-2999IPV6標準/擴展訪問控制列表只適用于IPV6的包，基于源IPV6地址或源和目的IPV6地址進行過濾ACL類型數字型Number名字型Name別名型AliasACL流過濾流過濾就是將與ACL規則匹配的數據流進行過濾操作：丟棄操作（deny），該操作將匹配流分類規則的數據流丟棄，而允許其他所有流量通過。管理員使用此方式丟棄那些無用的、不可靠、值得懷疑的業務流，從而增強網絡的安全性。允許操作（permit），該操作對匹配流分類規則的數流不作丟棄處理，允許通過Time-range配置配置ACL作用的時間域，當ACL沒有作用在該時間段，此ACL沒有生效。ACL性能每個ACL支持的最大規則：100整機支持的ACLtable數目：52:2849/59:3349名字型ACL的最大ACLtable數目：1000整機支持的最大ACLrule數目：可配3500應用2000條StandardACL的最大ACLrule數目：3500應用2000條linkACL的最大ACLrule數目：3500應用2000條extendACL的最大ACLrule數目：3500應用2000條hybridACL的最大ACLrule數目：3500應用128條IPV6StandardACL的最大ACLrule數目：2000應用128條IPV6extendACL的最大ACLrule數目：2000應用128條ACL配置步驟

ACL的配置包括以下三個步驟，請依次進行配置：

配置時間段：配置time-range，不是必須 定義訪問控制列表： 將訪問控制列表應用到物理端口ACL配置實例

標準ACl測試用例：只對源IP地址或者某個具體的IP網段進行控制，其中可以加入時間的限制。ZXR10(config-std-acl)#rule1deny192.168.1.10.0.0.0time-rangeworkZXR10(config-std-acl)#rule2permitanyZXR10(config-std-acl)#exiZXR10(config)#intgei_1/1ZXR10(config-if)#ipaccess-group1in在標準acl配置模式配置，禁止源IP地址是192.168.1.1的數據包從gei_1/1端口進入。其中的time-rangework表示在“work“定義的時間段內生效。Work的定義如下：Time-range:work08:30:00to18:00:00working-day表示在工作日（星期一到星期五）的08:30:00到18:00:00生效。擴展ACL：可以根據源IP地址、目的IP地址、IP協議號、UDP/TCP傳輸層的目的端口號和源端口號（稱之為IP五元組），ICMP，TOS字段、PRECEDENCE字段、FRAGMENT字段、TCPestablished字段等來進行報文控制。ZXR10(config-ext-acl)#rule1denytcp192.168.1.00.0.0.255eqtelnetany在ext-acl配置模式配置，禁止源IP地址為192.168.1.0/24、源端口號為23（telnet）的TCP數據包通過。ACL配置實例

二層ACl：可以針對二層的數據幀里面的字段如源MAC地址，目的MAC地址，802.1puserpriority字段優先級，vlan-id進行過濾。ZXR10(config)#acllinknu200ZXR10(config-link-acl)#rul1peranyin40940000.0000.00010000.0000.0000egressanyZXR10(config-link-acl)#exiZXR10(config)#intgei_1/1ZXR10(config-if)#ipac200in端口允許源MAC地址為0000.0000.0001，VLANID為4094的數據包通過。ACL配置實例

混合ACl：通過二層MAC地址、VLAN信息和三層的IP五元組信息進行數據流控制，它可以看作擴展ACL和二層ACL的綜合ZXR10(config)#aclhybridnametest1ZXR10(config-hybd-acl)#rule1denyipanyanyarpZXR10(config-hybd-acl)#rule2denyipany192.168.1.00.0.0.255ipegress0000.0000.00010000.0000.0000ZXR10(config-hybd-acl)#rul3peripanyanyanyZXR10(config-hybd-acl)#exiZXR10(config)#intgei_1/1ZXR10(config-if)#ipaccess-grouptest1in

配置混合名字型ACLtest1，禁止arp包從gei_1/1進入，禁止目的MAC地址為0000.0000.0001，目的IP地址為192.168.1.0/24的IP數據包通過。

ACL配置實例

IPV6ACl：基于源IPV6地址或源和目的IPV6地址進行過濾ZXR10(config)#ipv6aclextendednumber2500ZXR10(config-ext-v6acl)#rul1denyipanyanyZXR10(config-ext-v6acl)#exitZXR10(config)#intgei_1/1ZXR10(config-if)#ipaccess-group2500in配置擴展型IPV6ACL，禁止IPV6的包進入端口gei_1/1。

ACL配置實例

ACL的維護與診斷

ZXR10(config)#showaclZXR10(config)#showrunintZXR10(config)#showaccess-listboundZXR10(config)#showaccess-listbriefZXR10(config)#showaccess-listconfigZXR10(config)#showaccess-listusedZXR10(config)#showaccess-listaliasZXR10(config)#showipv6acl

測試注意事項注意測試的遍歷性注意ACL的性能測試在測試ACL時結合各種流量測試

主要內容一、ACL(AccessControlList)的基本原理二、59系列交換機中ACL功能及相關配置三、QoS(QuanlityofService)的基本原理四、59系列交換機中QoS的功能及相關配置QOS是一組服務要求，其目標是為網絡通信建立一個有保證的傳輸系統。本文所指的QOS是IPQOS，QOS主要有IETF建議的綜合服務(IntServ-IntegratedServicesArchitecture)體系和區分服務(DiffServ-DifferentiatedServicesArchitecture)兩種體系結構。59上只支持區分服務的QOS模型。

QOS基本概念主要內容一、ACL(AccessControlList)的基本原理二、59系列交換機中ACL功能及相關配置三、QoS(QuanlityofService)的基本原理四、59系列交換機中QoS的功能及相關配置59交換機QoS的主要功能流分類：對通過交換機的報文進行分類，通過使用訪問控制列表（ACL）實現。

優先級標記：對數據包的QoS參數進行改寫。包括二層的802.1puserpriority，三層TOS/DSCP，交換機內部使用的TrafficClass和丟棄基本參數。流量監管：流量監管就是對某一業務流進行帶寬限制，流重定向：將指定數據流定重定向到用戶指定的出接口或者下一跳，實現流量監控或策略路由功能。隊列調度：對出口隊列（0－7）進行調度，對高優先級的數據流提供帶寬、延時、抖動等參數的保證。59支持嚴格優先級調度（SP）和加權輪循（WRR）兩種調度方式。59交換機QoS的主要功能擁塞避免：實現出口上隊列擁塞時的流流量控制，對不同丟棄級別的數據包進行區別對待。59只支持尾丟棄一種方式，當隊列長度達到某一最大值時，所有新到來的報文都被丟棄。流量整形：流量整形是對輸出報文的速率進行整形或限速，使報文以均勻的速率發送出去。59只支持出端口整形一種方式。

流量統計：對匹配ACL規則的數據流進行流量統計流鏡像：即將指定數據流復制到監控端口或者是CPU，用來進行網絡監控和故障排除。59QOS基本動作59的QOS分為基于端口和基于流的動作，基于流的動作由ACL規則定義，其基本動作如下：

IP優先級以太網交換機可為特定報文提供優先級標記的服務，優先級的種類包括Precedence，TOS、DSCP、802.1pprioriy等，這些優先級分別適用于不同的QoS模型，在不同的模型中被定義。Precedence、TOS和DSCP優先級是定義在三層IP頭中的TOS字段；802.1p用戶優先級定義在二層802.1Q標簽頭中的TCI字段中。IP優先級1、Precedence，TOS和DSCPIP優先級

IPheader有一個8-bit的優先級區域，它通常被分為precedence部分和TOS部分，它的具體定義如下：

0567DSCPCUIPv4的TOS字節或者IPv6中的流字節DSCP：區分服務標記CU：保留給ECNIP優先級由于對區分服務類型的多樣化的要求，在之后的RFC文檔中對這個區域進行了重新的分配，命名為DSCP：也就是IP包頭的區分服務標記域IP優先級2、802.1pprioriy

在vlantag的TCI區域有3位的優先級區域，它指明幀的優先級。一共有8種優先級，主要用于當交換機阻塞時，優先發送優先級高的數據包。優先級映射

數據包內的優先級必須通過映射才能表現出他的作用來，而任何優先級的映射都必須通過相應的映射表來實現，在交換機中有這幾個映射表：1、802.1p優先級到cos的映射表：這個映射表主要把包中的tag中的每個優先級映射到一個具體的出口隊列，在各個交換機上的默認設置是不同的，但一般都是一一映射的，即priority0-〉cos0….priority7->cos7。

優先級映射2、802.1p優先級到丟棄優先級的映射表：這個映射表主要把包中的tag中的每個優先級映射到具體的丟棄優先級（DropPrecedence），這個丟棄優先級將在擁塞避免時有用。3、DSCP映射表：DSCP映射表一般可以把包中的DSCP值映射到新的DSCP值，新的c出口隊列還有新的丟棄優先級，但和其他映射表不同的是，但他被配置以后，不會馬上起效，必須在端口trustdscp才可以進行dscp的映射。流量監管和整形

為了使有限的網絡資源可以更好地為用戶服務，QoS在輸入端口上可以對特定用戶的業務流進行監管，使之適應分配給它那部分網絡資源。流量監管的處理流程如下圖：流量監管和整形

METER用來實現對數據流的測量，根據測量的結果，將數據包分幾種顏色，它可以工作在色盲（color-blind）和色敏感(color-aware)兩種模式下。在色盲模式下，他只根據這個測量的結果著色；而在色敏感模式下，它會根據這次測量的結果和包以前的顏色進行重新著色。MARKER根據METER的結果對數據包進行相應的QoS動作。單速率三色標記算法（SrTCM）：測量信息流，并根據三種流量參數（提交信息速率，CommittedInformationRate,CIR；提交組量大小CommittedBurstSize，CBS；超量組量大小ExcessBurstSize，EBS）對包進行標記，這三個參數我們分別稱為綠，黃和紅標記。如果包沒有超過CBS就是綠的，如果超過CBS但未超過EBS就是黃的，如果超過EBS就是紅的。

雙速率三色標記算法（TrTCM）：測量信息流，并根據兩種速率：峰值信息速率（PeakInformationRate，PIR）和提交信息速率（CommittedInformationRate,CIR）和他們各自相關的組量大小（CBS和PBS）來標記數據包為綠，黃和紅。如果包超過PIR標記為紅色，否則，超過CIR標記為黃色，沒有超出CIR標記為綠色。流量監管和整形標記（MARKER）

經過METER后的任何數據包會有一個顏色：綠、黃或紅,METER可以選擇將紅色的數據包丟棄或者轉發。對應沒有丟棄的數據包，MARKER可以對其QOS參數進行重新標記，一般可以對數據包802.1p優先級字段、DSCP優先級字段和交換機內部使用的丟棄級別、流類別（TrafficClass，用來決定出口隊列）進行標記，對不同顏色的數據包可以標記不同的數值。流量監管和整形擁塞避免

常用的擁塞避免的方法有RED(隨機早期檢測)，WRED（加權隨機早期檢測），顯式擁塞通知（ECN），tail-drop(尾丟棄)等。59使用的交換芯片只支持tail-drop(尾丟棄)的丟棄方案進行擁塞避免。擁塞避免

Tail-drop（尾丟棄）：當隊列長度超過某個閾值時，就開始丟棄對應的報文，直到隊列長度又回到閾值以內為止，這是一種比較簡單的擁塞避免方法。

隊列調度

59的隊列調度機制支持嚴格優先級（SP）和加權輪循（WRR）兩種方式。隊列調度1．嚴格優先級(StrictPriority，SP)

SP隊列調度算法，是針對關鍵業務型應用設計的。SP嚴格按照優先級從高到低的次序優先發送較高優先級隊列中的分組，當較高優先級隊列為空時，再發送較低優先級隊列中的分組。2．加權輪循(WeightedRoundRobin，WRR)WRR隊列調度算法在隊列之間進行輪流調度，保證每個隊列都得到一定的服務時間。它的比例是以報文的數目來計算的。隊列調度流鏡像&重定向

流鏡像將匹配指定規則的數據包復制到目的監控端口或CPU，一般再進行網絡檢測和故障排除使用。重定向將匹配指定規則的數據包轉發到某一個指定的端口或者下一條（策略路由），而不按照原來的流程轉發。流量統計

實現基于流的流量統計，對匹配某一原則的數據包個數或字節數進行統計，提供用戶對“感興趣”的報文做統計、分析的工具。單速率流量監管測試用例：ZXR10(config)#traffic-limitin200rule-id1cir10000cbs10000ebs10000modeaware說明：ACL200上規則1的流量進行流限速，限速為10M。使用的算法為單速率3色標記。相關參數注釋：cir：承諾平均速率cbs：承諾突發尺寸ebs：最大突發尺寸aware：包進來有顏色，根據以前的和計算后應打的得到最終顏色。ZXR10(config)#traffic-limitin200rule-id1cir10000cbs10000ebs10000modeblind說明：ACL200上規則1的流量進行流限速，限速為10M。使用的算法為單速率3色標記。相關參數注釋：blind：進來有顏色，但是只根據計算得到的打顏色。

雙速率流量監管測試用例：ZXR10(config)#traffic-limitin200rule-id1cir10000cbs10000pir10000pbs10000modeaware說明：ACL200上規則1的流量進行流限速，限速為10M。同時進行remark操作，使用的算法為雙速率3色標記。相關參數注釋：pir：峰值速率pbs：峰值突發尺寸流量監管對著色的包進行處理：ZXR10(config)#traffic-limitin200rule-id1cir10000cbs10000pir10000pbs10000modeaware？drop-yellowDropyellowpacket丟棄著色為黃色的包forward-redForwardredpacket轉發著色為紅色的包remark-red-dpRemarkreddropprecedence標記紅色包的丟棄優先級remark-red-dscpRemarkredDSCPvalue標記紅色包的DSCP值remark-yellow-dpRemarkyellowdropprecedence標記黃色包的丟棄優先級remark-yellow-dscpRemarkyellowDSCPvalue標記黃色包的DSCP值<cr>說明：配置流限速，并對著色的包進行各項操作。優先級標記方式1：ZXR10(config)#priority-markin200ru1?cosCosvaluedrop-precedenceDropprecedencedscpDscpvalue(notforipv6)local-precedenceLocalprecedenceprecedencePrecedencevalue(notforipv6)說明：將ACL200上規則1的包分別標記cos值、drop-precedence、dscp、local-precedence和precedence值。方式2：ZXR10(config-if)#priority?<0-7>Thepriorityvalue(cosvalue)說明：在入端口上對untag包配置COS值。優先級映射ZXR10(config)#qos?conform-dscpConfigureqosconformleveldscpparameters(notforipv6)cos-drop-mapConfigurecosdropmapparameterscos-local-mapConfigurecoslocalmapparametersZXR10(config)#qosconform-dscp06102說明：配置優先級映射表，如收到包dscp值為0，修改dscp為61，cos值為0，丟棄優先級為2（high）ZXR10(config)#qoscos-drop-map00000000說明：配置cos丟棄優先級映射表，設置cos值為0－7的丟棄優先級全為0。ZXR10(config)#qoscos-local-map01234567說明：配置cos的本地優先級映射表，設置cos值為0－7的本地優先級（出口隊列）依次為0－7。ZXR10(config-if)#trust-dscpenable說明：將所配置的映射表應用到端口上流量整形ZXR10(config-if)#traffic-shaperate-limit10000bucket-size10000out說明：將物理端口的出方向流量進行整形，設置出口帶寬為10M。

流重定向ZXR10(config)#redirectin200ru1?