linux幼儿园

  • 首页
  • 信息安全
    • 红队
    • 密码学
  • 软件
  • 硬件
  • 活动目录
  • 知识点
  • linux干货
  • linux命令集
    • 磁盘管理
    • 文档编辑
    • 设备管理
    • 网络通讯
    • 系统管理
    • 文件管理
    • 其他命令
  1. 首页
  2. 知识点
  3. 正文

华为路由器设备接口、流策略、流动作、流分类、ACL之间的关系

2020年06月23日 86点热度 0人点赞 0条评论

在学习华为的流策略,遇到了流量策略的问题,啪啦了一堆资料。华为很多设置已经实现了基于复杂流类的流量策略。多种复杂流分类方法和丰富的流动作,将这些流分类方法和对应可实施的流动作关联,形成流策略,并将流策略与接口绑定,可实现丰富的QoS流量策略。

配图而已

华为路由器设备接口、流策略、流动作、流分类、ACL之间的关系

名次解释:

traffic classifier 流分类又叫分类器,用if-match语句设定流分类的匹配规则。

traffic behavior 流行为又叫行为器,定义针对该类流量可实施的流动作。

traffic-policy 流策略,可以用来在应用全局,也可以用来在接口应用流策略。将流分类Classifier和流动作Behavior关联,成为一个Classifier & Behavior对。

华为路由器设备接口、流策略、流动作、流分类、ACL之间的关系

注意:不管是在全局模式下还是在接口模式下使用流量策略,首先要保证该策略已建立。

流策略

traffic policy huawei_ACCESS

share-mode

statistics enable

classifier huawei_ACCESS behavior huawei_ACCESS

解释:一个流分类只能与一个流行为相关联。而一个流行为视图下可以配置多个动作,但必须保证这些动作不冲突,具体的行为器内容,请参考具体的说明。

一个Policy模板中可以配置一个或多个Classifier & Behavior对。不同的Policy模板可以应用相同的Classifier & Behavior对。

分类器

traffic classifier huawei_ACCESS operator or

if-match acl 3400

一个Classifier模板中可以配置一条或多条if-match语句,if-match语句中可以引用ACL规则。不同的Classifier模板可以应用相同的ACL规则。一个ACL规则可以配置一个或多个Rule语句。

行为器

traffic behavior huawei_ACCESS

traffic behavior lcl

一个Behavior模板中可以配置一个或多个流动作。

下图为一个完整的流程。看懂这个流程,基本也就理解华为的流式匹配机制。

华为路由器设备接口、流策略、流动作、流分类、ACL之间的关系

使用实例

可以配置在全局模式,也可以应用在接口模式。

在应用该配置之前,需要保证流量策略traffic-policy已经建立。

# 配置在全局应用流策略abc。

1
2
<HUAWEI> system-view
[HUAWEI] traffic-policy abc inbound

命令格式

traffic-policy policy-name { inbound | outbound }

undo traffic-policy { inbound | outbound }

# 将流量策略policy1应用到接口GigabitEthernet 1/0/0的出方向上。不同的接口可以应用相同的Policy模板。

1
2
3
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet1 /0/0
[HUAWEI-GigabitEthernet1 /0/0 ] traffic-policy policy1 outbound

# 将流量策略policy2应用到接口Ringif 0的入方向上。

1
2
3
<HUAWEI> system-view
[HUAWEI] interface ring- if 
[HUAWEI-ring-if0] traffic-policy policy2 inbound

# 在接口GE1/0/0上配置policy1,指定为all-layer形式。

1
2
3
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1 /0/0
[HUAWEI-GigabitEthernet1 /0/0 ] traffic-policy policy1 inbound all-layer

华为路由器设备接口、流策略、流动作、流分类、ACL之间的关系

接口支持:

请使用华为官方文档查询最新支持的接口模式:

目前,产品支持在GE主接口/子接口、、POS接口、Eth-trunk主接口/子接口、Ethernet主接口/子接口、QinQ子接口(包括QinQ终结子接口、dot1q终结子接口和QinQ stacking子接口)、GRE Tunnel接口、MTunnel接口、IP-trunk接口、Ringif接口、ATM接口及子接口、VE接口、CPOS接口、E3/T3接口、CE1/CT1接口、Global-VE子接口上根据报文的三层、四层及其他信息进行复杂流分类;支持在GE子接口/二层接口、Ethernet子接口/二层接口、和Eth-trunk子接口/二层接口上根据二层信息进行复杂流分类。

总结,其实也很好理解,ACL规则下的permit用于匹配流,流动作里的permit或deny才是真正的对包文的允许与禁止动作。

也可参考华为手里的一句话:

基于硬件的应用:ACL 被下发到硬件,例如配置QoS 功能时引用ACL,对报文进

行流分类。需要注意的是,当ACL 被QoS 功能引用时,如果ACL 规则中定义的

动作为deny,则匹配此ACL 的报文就被丢弃。如果ACL 规则中定义的动作为

permit,则S5700 对匹配此ACL 的报文采取的动作由QoS 中流行为定义的动作决

定。

也可以直接通过traffic-filter方式调用ACL 前提是ACL左后要加上deny any 因为华为默认是permit

https://support.huawei.com/hedex/hdx.do?docid=EDOC1100126532&id=ZH-CN_CLIREF_0176369626&lang=zh

本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可
标签: 华为路由器
最后更新:2020年10月24日

jcghaier

from zero to hero

打赏 点赞
< 上一篇
下一篇 >

文章评论

取消回复
最新 热点 随机
最新 热点 随机
windows入侵检查流程 安全事件应急响应工具箱 利用腾讯轻量服务器搭建FRP服务 Windows局域网渗透(IPC$管道) 国内三大运营商宽带线路及分级介绍(联通篇) Windows Server 2012 R2 辅助域控制器搭建
安全事件应急响应工具箱windows入侵检查流程
testparm命令 - 测试Samba的设置是否正确无误 lpd命令 - 常驻的打印机管理程序 cancel命令 - 取消已存在的打印任务 apt-get命令 - 安装软件 type命令 - 显示指定命令的类型 tmux命令 - 终端复用软件
标签聚合
勒索病毒 防火墙 CentOS Debian 深信服 iptables zabbix tcp X.509 nmap
书签
  • Linux就该这么学
  • pfschina.org
  • ruyo
  • 佐须之男
  • 大象笔记
  • 小陈博客
  • 我能过软考
  • 教父爱分享
  • 散尽浮华
  • 现代魔法学院

COPYRIGHT © 2020 linux幼儿园. ALL RIGHTS RESERVED.

THEME KRATOS MADE BY VTROIS

51la