华为 Quidway S8500系列核心交换机按VLAN配置ACL配置指导书V1.00.doc

Quidway S8500系列核心交换机按VLAN配置ACL大256K路由表路由转发表配置指导书V1.00内部公开Quidway S8500系列核心交换机VLAN-ACL按VLAN配置ACL大256K路由表路由转发表配置指导书V1.00Huawei-3Com Technologies Co., Ltd. 华为3Com技术有限公司All rights reserved版权所有 侵权必究修订记录日期修订版本描述作者2005-508-9171.00初稿完成S8500研发1 概述S8500系列（8505、8508、8512）核心交换机支持两种ACL配置方式，即按端口配置ACL和按VLAN配置ACL目前支持端口ACL128K和路由转发表，即将发布的R002B002版本将支持VLAN模式的ACL256K两种路由表路由转发表规格，。按端口配置ACL，即ACL规则在端口视图下进行配置，ACL规则的作用范围为该端口；按VLAN下发ACL，即ACL规则在VLAN视图下进行配置，ACL规则的作为用范围为该VLAN及该VLAN下的所有端口。本文只描述按VLAN配置ACL规则的配置要求、配置步骤和限制条件等。允许用户在VLAN视图下配置ACL规则，给用户提供一个基于VLAN的访问控制，方便用户管理网络。R02B02不支持基于VLAN的流量限制R02B03版本支持基于VLAN的流量限制（单交换芯片）EX/MX都支持不支持WAN口。其中128K路由表路由转发表作为基本规格，目前销售所有的单板均能支持；，256K路由表路由转发表因为需要更大的内存支持空间，所以需要使用配置时对单板类型有所要求，目前新型的MPLS VPN增强型业务接口板和L3+业务处理板可对256K路由表进行有效支持。& 说明：本用户只需在VLAN视图下配置QACL，相应的QACL动作规则就能同步到VLAN下所有成员端口，而无需在每个成员端口上单独配置。文涉及的128K和256K均指路由转发表规格，路由转发表与路由表是两个不同的概念，路由转发表（FIB）是在各个接口板转发芯片中指导转发数据报文时使用的，而路由表是在主控板上进行路由学习时生成的，路由转发表是路由表与其他相关表项综合而成的，是路由表的子集。2配置准备要求按对VLAN配置下发QACL规则配置，该VLAN必须满足以下要求：3 VLAN内已经有成员端口；4 VLAN内的端口不能为WAN接口，包括POS口、ATM、RPR、CPOS、CE1/CT1等；5 VLAN内没有VPN混插端口；VLAN内的端口采用系统默认流模板。6 配置要求VLAN-ACL配置过程步骤VLAN-ACL配置配置步骤命令说明进入系统视图system-view-进入访问控制列表视图acl number acl-number | name acl-name advanced | basic match-order config | auto VLAN-ACL只能采用基本或高级访问控制列表及其子规则定义子规则rule必选退出访问控制列表视图quit-进入VLAN视图vlan vlan-id含有POS口或混插端口的VLAN不允许下发VLAN-ACL配置包过滤（激活访问控制列表）packet-filter inbound ip-group acl-number | acl-name rule rule system-index index 可选流量监管traffic-limit inbound ip-group acl-number | acl-name rule rule system-index index tc-index index cir cbs ebs pir conform remark-cos | remark-drop-priority * | remark-policed-service exceed forward | drop 可选2005-10-301月发布版本支持，不支持跨芯片。标记报文优先级traffic-priority inbound ip-group acl-number | acl-name rule rule system-index index auto | remark-policed-service trust-dscp | dscp dscp-value | untrusted dscp dscp-value cos cos-value local-precedence local-precedence drop-priority drop-level 可选配置报文重定向traffic-redirect inbound ip-group acl-number | acl-name rule rule system-index index cpu | next-hop ip-addr1 ip-addr2 可选VLAN视图下的traffic-redirect命令只支持重定向到下一跳和CPU，不支持重定向到接口和业务处理板到VPLS、NAT板等，不支持nested-vlan和modified-vlan配置流镜像mirrored-to inbound ip-group acl-number | acl-name rule rule system-index index cpu可选配置流量统计traffic-statistic inbound ip-group acl-number | acl-name rule rule system-index index 可选退出VLAN视图quit-进入以太网端口视图interface interface-type interface-num端口类型只能为以太网端口将VLAN的QACL配置手工同步到指定端口port can-access vlan-acl vlan vlanid 可选查看VLAN中哪些端口已经同步有该VLAN的ACL配置display vlan-acl-member-ports vlan vlanid在任意视图下执行配置约束VLAN-ACL配置有以下约束：流模板的限制：l VLAN-ACL只在采用默认流模板的端口下发，所下发的ACL规则字段只能是默认流模板规定的字段；l 若VLAN内尚无端口下发ACL规则，当在VLAN视图下下发第一个规则时会检查VLAN内所有端口，只要有一个端口使用自定义流模板，则不允许下发；l 若VLAN内已有部分端口下发VLAN-ACL，此时加入一个使用自定义流模板的端口，结果为：端口能加入VLAN，但不能下发VLAN-ACL；此时，再在VLAN视图下下发VLAN-ACL，原有的端口能够成功下发，但新加入的端口无法下发。当此端口从自定义流模板改用默认流模板时，系统会自动下发VLAN内的QACL规则到该端口；l 当端口已下发有VLAN-ACL时，如果想修改端口流模板为自定义流模板，系统会提示端口已下发有VLAN-ACL，不允许修改流模板。当端口所在的VLAN和端口都下发有QACL规则时，只有端口下的QACL起作用；VLAN-ACL只有在删除端口下的QACL规则，并且端口应用的流模板改成系统默认流模板后之后才起作用。建议：一个端口只使用一种形式配置规则，端口下发了规则，就不要再在VLAN下发规则。反之，如果使用VLAN下发，就不要再在端口模式下发规则。& 说明：建议一个端口只使用一种形式配置规则，端口下发了规则，就不要再在VLAN下发规则。反之，如果使用VLAN下发，就不要再在端口模式下发规则。当VLAN内没有成员端口时，不允许下发VLAN-ACL（包括增加和删除规则）。如果两个端口的VLAN-ACL同步情况不一致，则这两个端口无法动态聚合。VLAN-ACL不能在与POSWAN接口口绑定的VLAN下发，即VLAN-ACL不会下发到WAN接口POS口。MPLS VPN混插端口所在的VLAN不允许下发VLAN-ACL；反之，下发有VLAN-ACL的VLAN不能再用于MPLS VPN混插端口。6.1 主控板配置1) 128K路由表路由转发表规格：所有主控板均能支持128K路由表路由转发表，配置128K路由表路由转发表时，对主控板无特殊要求。2) 256K路由表路由转发表规格：所有主控板均能基本支持256K路由表路由转发表，但为了获得更好的性能，配置256K路由表路由转发表时，建议使用带有1G内存的LSBM1SRP1N3型主控板，或者如下所述将其他主控板内存升级为1G容量。a、LSBM1SRP1N3型主控板：标准配置1G内存。表1 LSBM1SRP1N3型主控板BOM编码型号定义单板描述0231A4440231A639LSBM1SRP1N3Quidway S8500-交换路由处理板-带时钟模块含时钟模块的SRP1N交换路由处理板b、主控板内存升级：除LSBM1SRP1N3型主控板外，其他主控板内存的标准配置为512M。当系统需要配置256K路由转发表时，为了获得更好的性能，建议将主控板内存升级为1G容量。因为主控板上内存条的插座只有一个，所以只能使用LSBM1SDRAM 型1G内存条将原有512M内存条替换掉。LSBM1SDRAM型1G内存条BOM编码型号定义模块描述0231A01BLSBM1SDRAMQuidway S8500-1G内存条& 说明：除LSBM1SRP1N3型主控板内存为1G外，其余主控板内存均为512M，目前不提供主控板内存升级服务？，需要配置256K路由表路由转发表规格时，为了更好的性能表现，建议直接使用LSBM1SRP1N3型主控板。6.2 业务接口板配置1) 128K路由表路由转发表规格：所有业务接口板均能支持128K路由表路由转发表，配置128K路由表路由转发表时，对业务板接口板无特殊要求。2) 256K路由表路由转发表规格：只有新型CA类MPLS VPN增强型业务接口板和L3+业务处理板支持256K路由表路由转发表规格，其余类型单接口板（标准型业务接口板和老型C类MPLS VPN增强型业务接口板）均只支持128K路由表路由转发表。配置256K路由表路由转发表时，系统中所有业务接口板必须为新型CA类MPLS VPN增强型业务接口板和或L3+业务处理板。a、新型MPLS VPN增强型业务接口板具体类型：表2 新型MPLS VPN增强型业务接口板型号列表BOM编码型号定义单板描述0231A01HLSB2FT48CA48端口百兆以太网电接口板（CA）0231A02LLSB1FP20CA20端口百兆以太网光接口板 (CA)0231A01GLSB1GP12CA12端口千兆以太网光接口板（CA）0231A02MLSB1GT12CA12端口千兆以太网电接口板(CA)0231A02ALSB1P4G8CA4端口OC-3c POS光接口及8端口千兆光接口板(CA)0231A01YLSB1F32GCA32端口百兆以太网电接口及4端口千兆以太网光接口板（CA）0231A445LSBM1GT24CA0LSB1GT24CAQuidway S8500-24端口千兆以太网电接口业务板（CA）24端口千兆以太网电接口板(CA)0231A01FLSBM1GP24CA0LSB1GP24CAQuidway S8500-24端口千兆以太网光接口业务板（CA）24端口千兆以太网光接口板(CA)0231A436LSBM1XK1CA0LSB1XK1CAQuidway S8500-1端口万兆以太网光接口业务板 （CA）1端口万兆以太网光接口板 (CA)0231A457LSBM1XP2CA0LSB1XP2CAQuidway S8500-2端口万兆以太网光接口业务板（CA）2端口万兆以太网光接口板(CA)0231A459LSBM1XP4CA0LSB1XP4CAQuidway S8500-4端口万兆以太网光接口业务板-1:2（CA）4端口万兆以太网光接口板-1:2(CA)0231A02NLSBM1SP4CA0LSB1SP4CAQuidway S8500-4端口OC-48c-POS光接口业务板 （CA）4端口OC-48c-POS光接口板 (CA)0231A02PLSBM1UP1CA0LSB1UP1CAQuidway S8500-1端口OC-192c-POS光接口业务板（CA）1端口OC-192c-POS光接口板（CA）0231A03ELSB1VP2CA2*10G RPR光接口板（CA）新型MPLS VPN增强型单接口板的型号编码统一以CA0结尾，所有该类单板均支持256K路由表路由转发表规格；原有C类MPLS VPN增强型单接口板型号编码以C0结尾，仅支持128K路由表路由转发表规格。b、L3+业务板具体类型表3 L3+业务板型号列表BOM编码型号定义单板描述0231A03ALSB1NATBNAT板（B）0231A03BLSB1VPNBVPLS板（B）所有类型的L3+板因为采用NP（网络处理器）进行业务处理，均可视为支持256K路由表路由转发表规格。cb、系统路由表路由转发表规格适用就低原则，即系统路由表路由转发表规格和所有业务单板板中路由表路由转发表规格最小的相同，因此如果系统需要支持256K路由表路由转发表规格，则所有业务接口板都必须采用支持256K路由表路由转发表规格的单板类型。专用业务处理板配置128K路由转发表规格：所有专用业务处理板均能支持128K路由转发表，配置128K路由转发表时，对专用业务处理板无特殊要求。256K路由转发表规格：所有专用业务处理板均能支持256K路由转发表，配置256K路由转发表时，对专用业务处理板无特殊要求。6.2.1.1.1.a.i.1.1 专用业务处理板型号列表BOM编码型号定义单板描述0231A03ALSBM1NATB0Quidway S8500-NAT业务处理板（B）0231A03BLSBM1VPNB0Quidway S8500-VPLS业务处理板（B）同步VLAN-ACL失败的处理。当端口加入VLAN时，可能会因为资源不足或者端口下有自定义流模板而无法同步该VLAN的ACL配置。用户可以通过以下的命令来查看哪些端口下已有指定VLAN的ACL规则：display vlan-acl-member-ports vlan vlanid【举例】# 查看哪些端口下有VLAN 5的ACL规则。display vlan-acl-memb