QuidWay3500交换机QACL操作.docx
《QuidWay3500交换机QACL操作.docx》由会员分享,可在线阅读,更多相关《QuidWay3500交换机QACL操作.docx(114页珍藏版)》请在冰点文库上搜索。
QuidWay3500交换机QACL操作
目录
第1章ACL配置1-1
1.1访问控制列表简介1-1
1.1.1访问控制列表概述1-1
1.1.2S3526系列支持的访问控制列表1-3
1.1.3S3526E系列和S3526C支持的访问控制列表1-4
1.1.4S3552系列支持的访问控制列表1-4
1.2S3526系列的ACL配置1-5
1.2.1时间段配置1-5
1.2.2定义访问控制列表1-6
1.2.3激活访问控制列表1-9
1.2.4访问控制列表显示和调试1-12
1.3S3526E系列和S3526C的ACL配置1-12
1.3.1时间段配置1-12
1.3.2定义访问控制列表1-13
1.3.3激活访问控制列表1-17
1.3.4访问控制列表显示和调试1-18
1.4S3552系列的ACL配置1-18
1.4.1时间段配置1-19
1.4.2定义和应用流模板1-19
1.4.3定义访问控制列表1-22
1.4.4激活访问控制列表1-24
1.4.5访问控制列表显示和调试1-25
1.5S3526系列的访问控制列表典型配置案例1-26
1.5.1高级访问控制列表配置案例1-26
1.5.2基本访问控制列表配置案例1-27
1.5.3二层访问控制列表配置案例1-28
1.6S3526E系列和S3526C的访问控制列表典型配置案例1-29
1.6.1高级访问控制列表配置案例1-29
1.6.2基本访问控制列表配置案例1-30
1.6.3二层访问控制列表配置案例1-31
1.6.4用户自定义访问控制列表配置案例1-32
1.7S3552系列交换机访问控制列表典型配置案例1-33
1.7.1高级访问控制列表配置案例1-33
1.7.2基本访问控制列表配置案例1-34
1.7.3二层访问控制列表配置案例1-35
1.7.4通过源mac+源IP的规则过滤报文1-36
第2章QoS配置2-1
2.1QoS简介2-1
2.2S3526系列以太网交换机的QoS配置2-5
2.2.1设置端口的优先级2-7
2.2.2设置交换机信任报文的优先级2-8
2.2.3优先级标记配置2-8
2.2.4队列调度配置2-8
2.2.5流镜像配置2-10
2.2.6流量统计配置2-10
2.2.7QoS的显示和调试2-11
2.3S3526E系列和S3526C的QoS配置2-11
2.3.1设置端口的优先级2-12
2.3.2设置交换机信任报文的优先级2-12
2.3.3流量监管2-13
2.3.4端口限速2-13
2.3.5报文重定向配置2-13
2.3.6优先级标记配置2-14
2.3.7队列调度配置2-15
2.3.8流镜像配置2-16
2.3.9流量统计配置2-16
2.3.10QoS的显示和调试2-17
2.4S3552系列的QoS配置2-18
2.4.1服务参数分配规则配置2-19
2.4.2流量监管2-20
2.4.3流量整形2-22
2.4.4优先级标记配置2-23
2.4.5报文重定向配置2-23
2.4.6队列调度配置2-24
2.4.7拥塞避免配置2-25
2.4.8端口镜像配置2-27
2.4.9流镜像配置2-28
2.4.10流量统计配置2-29
2.4.11设置协议报文优先级配置2-29
2.4.12QoS的显示和调试2-30
2.5S3526系列的QoS配置实例2-31
2.5.1流镜像配置实例2-31
2.5.2优先级标记和队列调度配置实例2-32
2.5.3流量统计实例2-33
2.6S3526E系列和S3526C的QoS配置实例2-35
2.6.1流量监管和端口限速配置实例2-35
2.6.2流镜像配置实例2-36
2.6.3优先级标记配置实例2-37
2.6.4报文重定向配置实例2-38
2.6.5队列调度配置实例2-38
2.6.6流量统计实例2-40
2.7S3552系列交换机QoS配置示例2-41
2.7.1流量监管配置实例2-41
2.7.2对指定VLAN的报文实现双向限速配置实例2-42
2.7.3对指定端口的报文实现双向速率的限制配置实例2-43
2.7.4优先级标记配置实例2-44
第3章配置登录用户的ACL控制3-1
3.1简介3-1
3.2配置对TELNET用户的ACL控制3-1
3.2.1定义访问控制列表3-1
3.2.2引用访问控制列表,对TELNET用户进行控制3-2
3.2.3配置举例3-2
3.3对通过SNMP访问交换机的用户的ACL控制3-3
3.3.1定义访问控制列表3-3
3.3.2引用访问控制列表,对通过SNMP访问交换机的用户进行控制3-4
3.3.3配置举例3-5
3.4对通过HTTP访问交换机的用户的ACL控制3-5
3.4.1定义访问控制列表3-6
3.4.2引用访问控制列表,对通过HTTP访问交换机的用户进行控制3-6
3.4.3配置举例3-6
第1章ACL配置
1.1访问控制列表简介
1.1.1访问控制列表概述
为了过滤通过网络设备的数据包,需要配置一系列的匹配规则,以识别需要过滤的对象。
在识别出特定的对象之后,网络设备才能根据预先设定的策略允许或禁止相应的数据包通过。
访问控制列表(AccessControlList,ACL)就是用来实现这些功能。
ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等。
ACL应用在交换机全局或端口,交换机根据ACL中指定的条件来检测数据包,从而决定是转发还是丢弃该数据包。
由ACL定义的数据包匹配规则,还可以在其它需要对流量进行区分的场合引用,如定义QoS中的流分类规则时。
一条访问控制规则可以由多条子规则组成。
由于每一条子规则指定的数据包的范围大小有别,在匹配一个访问控制规则的时候就存在匹配顺序的问题。
1.ACL直接下发到硬件中的情况
交换机中ACL可以直接下发到交换机的硬件中用于数据转发过程中的过滤和流分类。
此时一条ACL中多个子规则的匹配顺序是由交换机的硬件决定的,用户即使在定义ACL时配置了匹配顺序也不起作用。
交换机的子规则硬件匹配顺序见下表。
表1-1交换机ACL子规则的硬件匹配顺序
交换机
ACL子规则的硬件匹配顺序
S3526系列
同一个ACL配置了多个子规则时,硬件匹配顺序是首先匹配deny动作的子规则,然后匹配permit动作的子规则。
在匹配permit动作的子规则时,采用精确匹配,优先选择范围最精确的规则进行匹配,比如同一个ACL3000有两个子规则rule0和rule1,rule0的定义是“rule0permitipsource1.1.1.10.0.255.255destination2.2.2.20.0.255.255”,rule1的定义是“rule1permitipsource1.1.1.10.0.0.255destination2.2.2.20.0.0.255”,则rule1的范围更精确,会被首先匹配。
S3526E系列
同一个ACL配置了多个子规则时,硬件匹配顺序是后下发的子规则将会先匹配。
S3526C
同一个ACL配置了多个子规则时,硬件匹配顺序是后下发的子规则将会先匹配。
S3552系列
同一个ACL配置了多个子规则时,硬件匹配顺序是先下发的规则先匹配
说明:
S3526系列交换机包括S3526、S3526FM、S3526FS交换机。
S3526E系列交换机包括S3526E、S3526EFM、S3526EFS交换机。
S3552系列交换机包括S3552G、S3552P、S3552F、S3528G、S3528P以太网交换机。
对于S3526系列交换机,packet-filter功能只支持引用deny动作的规则,其他的QoS功能比如优先级标记、流镜像和流统计都只支持引用permit动作的规则。
但是在某些情况下,会出现permit和deny动作同时匹配。
比如,packet-filter功能引用ACL3000rule0(deny动作),流统计功能引用ACL3000rule1(permit动作),这时交换机将首先匹配deny动作的ACL3000rule0,然后匹配rule1。
ACL直接下发到硬件的情况包括:
交换机实现QoS功能时引用ACL、硬件转发时通过ACL过滤转发数据等。
2.ACL被上层模块引用的情况
交换机也使用ACL来对由软件处理的报文进行过滤和流分类。
此时ACL子规则的匹配顺序有两种:
config(指定匹配该规则时按用户的配置顺序)和auto(指定匹配该规则时系统自动排序,即按“深度优先”的顺序)。
这种情况下用户可以在定义ACL的时候指定一条ACL中多个子规则的匹配顺序。
用户一旦指定某一条访问控制列表的匹配顺序,就不能再更改该顺序。
只有把该列表中所有的规则全部删除后,才能重新指定其匹配顺序。
ACL被软件引用的情况包括:
路由策略引用ACL、对登录用户进行控制时引用ACL等。
说明:
“深度优先”的原则是指:
把指定数据包范围最小的语句排在最前面。
这一点可以通过比较地址的通配符来实现,通配符越小,则指定的主机的范围就越小。
比如129.102.1.10.0.0.0指定了一台主机:
129.102.1.1,而129.102.1.10.0.255.255则指定了一个网段:
129.102.1.1~129.102.255.255。
显然前者在访问控制规则中排在前面。
具体标准为:
对于基本访问控制规则的语句,直接比较源地址通配符,通配符相同的则按配置顺序;对于基于接口过滤的访问控制规则,配置了“any”的规则排在后面,其它按配置顺序;对于高级访问控制规则,首先比较源地址通配符,相同的再比较目的地址通配符,仍相同的则比较端口号的范围,范围小的排在前面,如果端口号范围也相同则按配置顺序。
1.1.2S3526系列支持的访问控制列表
在以太网交换机中,访问控制列表分为以下几类:
●基于数字标识的基本访问控制列表。
●基于名字标识的基本访问控制列表。
●基于数字标识的高级访问控制列表。
●基于名字标识的高级访问控制列表。
●基于数字标识的二层访问控制列表。
●基于名字标识的二层访问控制列表。
交换机上对各种访问控制列表的数目限制如下表所示:
表1-1访问控制列表的数量限制
项目
数字取值范围
基于数字标识的基本访问控制列表
2000~2999
基于数字标识的高级访问控制列表
3000~3999
基于数字标识的二层访问控制列表
4000~4999
基于名字标识的基本访问控制列表
-
基于名字标识的高级访问控制列表
-
基于名字标识的二层访问控制列表
-
一条访问控制列表可以定义的子规则
0~127
交换机最多可以支持的子规则(所有访问控制列表的子规则之和)
-
1.1.3S3526E系列和S3526C支持的访问控制列表
在以太网交换机中,访问控制列表分为以下几类:
●基于数字标识的基本访问控制列表。
●基于名字标识的基本访问控制列表。
●基于数字标识的高级访问控制列表。
●基于名字标识的高级访问控制列表。
●基于数字标识的二层访问控制列表。
●基于名字标识的二层访问控制列表。
●基于数字标识的用户自定义型访问控制列表。
●基于名字标识的用户自定义型访问控制列表。
交换机上对各种访问控制列表的数目限制如下表所示:
表1-1访问控制列表的数量限制
项目
数字取值范围
基于数字标识的基本访问控制列表
2000~2999
基于数字标识的高级访问控制列表
3000~3999
基于数字标识的二层访问控制列表
4000~4999
基于数字标识的用户自定义型访问控制列表
5000~5999
基于名字标识的基本访问控制列表
-
基于名字标识的高级访问控制列表
-
基于名字标识的二层访问控制列表
-
基于名字标识的用户自定义型访问控制列表
-
一条访问控制列表可以定义的子规则
0~127
交换机最多可以定义的子规则(所有访问控制列表的子规则之和)
-
1.1.4S3552系列支持的访问控制列表
在以太网交换机中,访问控制列表分为以下几类:
●基于数字标识的基本访问控制列表。
●基于名字标识的基本访问控制列表。
●基于数字标识的高级访问控制列表。
●基于名字标识的高级访问控制列表。
●基于数字标识的二层访问控制列表。
●基于名字标识的二层访问控制列表。
交换机上对各种访问控制列表的数目限制如下表所示:
表1-1访问控制列表的数量限制
项目
数字取值范围
最多可下发至硬件的数量
基于数字标识的基本访问控制列表
2000~2999
每个百兆端口64条,每个千兆端口512条
基于数字标识的高级访问控制列表
3000~3999
基于数字标识的二层访问控制列表
4000~4999
基于名字标识的基本访问控制列表
-
基于名字标识的高级访问控制列表
-
基于名字标识的二层访问控制列表
-
一条访问控制列表可以定义的子规则
0~127
-
交换机最多可以支持的子规则(所有访问控制列表的子规则之和)
-
1024
一条规则可以被多个QoS功能下发至硬件,即交换机可以对一个特定的数据流执行多个流动作。
无论一条规则被几个QoS功能引用,交换机都认为这只是一条流规则下发到硬件,而不会认为是多条规则下发到硬件。
例如,百兆端口Ethernet0/1上最多可以下发64条规则,规则ACL2000rule0分别被流量监管、优先级标记功能下发至此端口上,交换机认为只有一条规则下发,在Ethernet0/1上仍然可以再下发63条规则。
1.2S3526系列的ACL配置
访问控制列表配置包括:
●配置时间段
●定义访问控制列表
●激活访问控制列表
以上三个步骤最好依次进行,先配置时间段,然后定义访问控制列表(在其中会引用定义好的时间段),最后激活访问控制列表,使其生效。
1.2.1时间段配置
对时间段的配置有如下内容:
配置周期时间段和绝对时间段。
配置周期时间段采用的是每周的周几的形式,配置绝对时间段采用从起始时间到结束时间的形式。
可以使用下面的命令来配置时间段。
请在系统视图下进行下列配置。
表1-1创建时间段
操作
命令
创建时间段
time-rangetime-name{start-timetoend-timedays-of-the-week[fromstart-timestart-date][toend-timeend-date]|fromstart-timestart-date[toend-timeend-date]}
删除时间段
undotime-rangetime-name[start-timetoend-timedays-of-the-week[fromstart-timestart-date][toend-timeend-date]|fromstart-timestart-date[toend-timeend-date]]
如果一个时间段只定义了周期时间段,则只有在该周期时间段内,该时间段才进入激活状态。
如果一个时间段只定义了绝对时间段,则只有在该绝对时间段内,该时间段才进入激活状态。
如果一个时间段同时定义了绝对时间段和周期时间段,则只有同时满足绝对时间段和周期时间段的定义时,该时间段才进入激活状态。
例如,一个时间段定义了绝对时间段:
从2004年1月1日零点零分到2004年12月31日23点59分,同时定义了周期时间段:
每周三的12:
00到14:
00。
该时间段只有在2004年内每周三的12:
00到14:
00才进入激活状态。
如果不配置结束日期,时间段就是从配置生效之日起到系统可以表示的最大时间为止。
1.2.2定义访问控制列表
Quidway系列交换机支持多种访问控制列表,下面分别介绍如何定义这些访问控制列表。
定义访问控制列表的步骤为:
(1)进入相应的访问控制列表视图
(2)定义访问控制列表的子规则
说明:
●如果定义ACL时不使用参数time-range,则此访问控制列表激活后将在任何时刻都生效。
●在定义ACL的子规则时,用户可以多次使用rule命令给同一个访问控制列表定义多条规则。
●如果ACL用于直接下发到硬件中对转发数据进行过滤和流分类,则用户定义的子规则匹配顺序将不起作用。
如果ACL用于对由软件处理的报文进行过滤和流分类,用户指定的匹配顺序将会有效,并且用户一旦指定某一条访问控制列表子规则的匹配顺序,就不能再更改该顺序。
●缺省情况下,访问控制列表中子规则的匹配顺序为按用户配置顺序进行匹配。
2.定义基本访问控制列表
基本访问控制列表只根据三层源IP制定规则,对数据包进行相应的分析处理。
可以使用下面的命令来定义基本访问控制列表。
请在相应视图下进行下列配置。
表1-1定义基本访问控制列表
操作
命令
进入基本访问控制列表视图(系统视图)
acl{numberacl-number|nameacl-namebasic}[match-order{config|auto}]
定义子规则(基本访问控制列表视图)
rule[rule-id]{permit|deny}[sourcesource-addrwildcard|any][fragment][time-rangename]
删除访问控制列表的一个子规则(基本访问控制列表视图)
undorulerule-id[source][fragment][time-range]
删除访问控制列表,或者删除全部访问控制列表(系统视图)
undoacl{numberacl-number|nameacl-name|all}
3.定义高级访问控制列表
高级访问控制列表根据源IP、目的IP、使用的TCP或UDP端口号、报文优先级等数据包的属性信息制定分类规则,对数据包进行相应的处理。
高级访问控制列表支持对三种报文优先级的分析处理:
TOS(TypeOfService)优先级、IP优先级和DSCP优先级。
说明:
对于S3026FM、S3026FS、S3526、S3526FM、S3526FS交换机,在配置高级访问控制列表的时候有如下限制:
●用户在配置IP-any,any-IP,NET-any,any-NET的规则的时候,(即源地址为主机IP地址或网段地址,目的地址为任意IP地址的规则;源地址为任意IP地址,目的地址为主机IP地址或网段地址的规则),不能配置协议类型(即rule命令中protocol参数)。
如果用户配置了协议类型,交换机会返回配置错误信息。
●不支持ToS优先级、DSCP优先级参数。
●支持rule命令中icmp-type参数,不支持后面的typecode参数。
可以使用下面的命令来定义高级访问控制列表。
请在相应视图下进行下列配置。
表1-1定义高级访问控制列表
操作
命令
进入高级访问控制列表视图(系统视图)
acl{numberacl-number|nameacl-nameadvanced}[match-order{config|auto}]
定义子规则(高级访问控制列表视图)
rule[rule-id]{permit|deny}protocol[sourcesource-addrwildcard|any][destinationdest-addrwildcard|any][source-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-typetypecode][established][[precedenceprecedence|tostos]*|dscpdscp][fragment][time-rangename]
删除访问控制列表的一个子规则(高级访问控制列表视图)
undorulerule-id[source][destination][source-port][destination-port][icmp-type][precedence][tos][dscp][fragment][time-range]
删除访问控制列表,或者删除全部访问控制列表(系统视图)
undoacl{numberacl-number|nameacl-name|all}
高级访问控制列表的数字标识取值范围为3000~3999。
需要注意的是,上面命令中的port1、port2参数指的是各种高层应用使用的TCP或者UDP的端口号,对于部分常见的端口号,可以用相应的助记符来代替其实际数字,如使用“bgp”来代替BGP协议使用的TCP端口号179。
4.定义二层访问控制列表
二层访问控制列表根据源MAC地址、源VLANID、二层协议类型、报文二层接收端口、报文二层转发端口、目的MAC地址等二层信息制定规则,对数据进行相应处理。
可以使用下面的命令来定义二层访问控制列表。
请在相应视图下进行下列配置。
表1-1定义二层访问控制列表
操作
命令
进入二层访问控制列表视图(系统视图)
acl{numberacl-number|nameacl-namelink}[match-order{config|auto}]
定义子规则(二层访问控制列表视图)
rule[rule-id]{permit|deny}[ingress{{source-vlan-id|source-mac-addr|interface{interface-name|interface-typeinterface-num}}*|any}][egress{{destination-vlan-id|dest-mac-addr|interface{interface-name|interface-typeinterface-num}}*|any}][time-rangename]
删除访问控制列表的一个子规则(二层访问控制列表视图)
undorulerule-id
删除访问控制列表,或者删除全部访问控制列表(系统视图)
undoacl{numbe