Quidway S6500 QACL维护手册(CXE).doc

S6506 ACL 维护手册内部公开 2005 6 14华为三康机密 未经许可不得扩散第 1 页 共 15 页 产品名称Product name密级Confidentiality level Quidway S6506 内部公开 产品版本Product version V100R002 Total 15 pages 共 15 页 QuidwayQuidway S6506S6506 ACLACL CXECXE芯片芯片 维护手册维护手册 仅供内部使用仅供内部使用 ForFor internalinternal useuse onlyonly 拟制 S6506 维护组日期 2005 09 26 审核 日期 审核 日期 批准 日期 华为三康技术有限公司 Huawei 3Com Technologies Co Ltd 版权所有 侵权必究 All rights reserved S6506 ACL 维护手册内部公开 2005 6 14华为三康机密 未经许可不得扩散第 2 页 共 15 页 修订记录Revision record 日期日期修订版本修订版本修改描述修改描述作者作者 2005 6 141 00 初稿完成S6506 维护组 2005 09 262 00 增加 ACL 整改部分的说明S6506 维护组 S6506 ACL 维护手册内部公开 2005 6 14华为三康机密 未经许可不得扩散第 3 页 共 15 页 目 录 1文档范围文档范围 5 2QOS DstHG表项 包含信息destination 1 1 1 2 0 SrL4表项 包含信息tcp soureport eq 10 S6506 ACL 维护手册内部公开 2005 6 14华为三康机密 未经许可不得扩散第 8 页 共 15 页 DstL4表项 包含信息tcp destination port eq 20 MR表项 包含信息permit动作 例2 acl name r2 link rule 0 deny rarp ingress 0 0 1 egress 0 0 3 int e2 0 1 packet filter inbound link r2 rule 0 底层将设置4个表项 PT表项 包含信息Ethernet type 0835 SrHG表项 包含信息SrMac 0 0 1 int e2 0 1 DstHG表项 包含信息DstMac 0 0 3 MR表项 包含信息deny动作 3 4ACL 表项匹配 用户向硬件下发一条规则时 交换机把规则内容进行分解 分配到不同的硬件表当中去 针对每个硬件 表项 交换机都会为它分配一个ID CXE芯片有6个表 如下表所示 CXE 芯片的硬件表 表名称内容表项中常见字段说明 PT表 Packet Type Table 设置报文的封装 格式 以太网类 型等 Encapsulation 报文的封装类 型 Ethernet type 以太网类型 ID 交换机为每个表项分配 一个ID SrHG表 Source Host Group Table 源二 三层信息 如源IP 源Mac 源端口等 DstHG表 Destination Host Group Table 设置目的二 三 层信息 如目的 IP 目的Mac 目的端口等 IP Address 报文的源或目的 IP DiffServ IP Precedence DSCP IP优先级 Physical Port Mask 端口掩 码 表示对从哪些端口进 出 的报文 规则生效 Vlan ID 入Vlan设置 Mac Address 报文的源或目 的Mac Physical Port 物理端口号 表示对从哪个端口进 出的报 文 规则生效 ID 交换机为每个表项分配 一个ID SrHG表和DstHG表使 用同一个表 在表项中 有一个 Source Destination字段 该字段取值为0时 表 示是SrHG表项 当字 段取值为1时 表示是 DstHG表项 S6506 ACL 维护手册内部公开 2005 6 14华为三康机密 未经许可不得扩散第 9 页 共 15 页 SrL4表 Source Layer 4 Table 设置协议类型 TCP Flag L4源 端口号 Socket 等 DstL4表 Destination Layer 4 Table 设置协议类型 TCP Flag L4目 的端口号 Socket等 Type 表项类型 有IP IPX 两个类型 L4 Protocol Transport Layer协 议号 Port Number TCP UDP报文 的端口号 ID 交换机为每个表项分配 一个ID SrL4表和DstL4表使用 同一个表 在表项中有 一个Source Destination 字段 该字段取值为0 时 表示是SrL4表表项 当字段取值为1时 表 示是DstL4表项 MR表项 Main Rule Table 设置相应匹配动 作 ID向量 用户向硬件下发了 一条规则后 内容分解到在 前5个表中 每个表中都会得 到一个ID 这些ID构成了MR 表中的ID向量 如果规则分解后在某个没有 某个表的相关内容 则在MR 表的ID向量中 该表的表项 ID取为0 动作 匹配了规则后采取的 动作 MR表中存在一个缺省 的表项 动作允许报文 转发出去 如果报文没 有在MR表中匹配到相 应的表项 交换机将按 照缺省表项的动作将该 报文转发出去 说明 同一条规则下发到多个端口上 SrHG 表项中的 Physical Port Mask 字段可以使 这多个端口使用同一个 SrHG 表项 从而节约了表项资源 例如 用户在Ethernet2 0 1上下发了一条规则 丢弃接收的源IP地址为1 1 1 1 源TCP端口号为255 以 太网类型为Ethernet II的报文 这条规则在芯片硬件表的分布情况如下 1Ethernet type Ethernet II IDContent 1Ethernet type Ethernet II IDContent PT table 1IP 1 1 1 1 Physical port Ethernet1 0 1 Source Destination 0 IDContent 1IP 1 1 1 1 Physical port Ethernet1 0 1 Source Destination 0 IDContent SrHG DstHG table 1L4 Protocol TCP Port 255 Source Destination 0 IDContent 1L4 Protocol TCP Port 255 Source Destination 0 IDContent SrL4 DstL4 table discard 1 1 0 1 0 actionID vector discard 1 1 0 1 0 actionID vector MR table 规则在硬件表中的分布情况 报文的匹配过程 匹配过程如下 交换机收到报文后 首先依次在各个硬件表匹配 获取匹配到的表项的 ID 如果在相 应的表中没有匹配报文的表项 该报文会得到一个缺省的 ID 0 使用从前面获取的 ID 向量在 MR 表中进行匹配 根据匹配的 MR 表项的动作对报文进 行相应的处理 MR 表中存在一个缺省的表项 动作项为将报文转发出去 如果报文没有在 MR 表中 匹配到相应的表项 交换机将按照缺省表项的指示将该报文转发出去 例如 交换机Ethernet2 0 1上下发了一条规则 丢弃接收的源IP地址为1 1 1 1 源TCP端口号为255 以 太网类型为Ethernet II的报文 Ethernet2 0 1上接收的报文的匹配过程如下图所示 S6506 ACL 维护手册内部公开 2005 6 14华为三康机密 未经许可不得扩散第 10 页 共 15 页 1Ethernet type Ethernet II IDContent 1Ethernet type Ethernet II IDContent PT table 1IP 1 1 1 1 Physical port Ethernet1 0 1 Source Destination 0 IDContent 1IP 1 1 1 1 Physical port Ethernet1 0 1 Source Destination 0 IDContent SrHG DstHG table 1L4 Protocol TCP Port 255 Source Destination 0 IDContent 1L4 Protocol TCP Port 255 Source Destination 0 IDContent SrL4 DstL4 table discard 1 1 0 1 0 actionID vector discard 1 1 0 1 0 actionID vector MR table Matching Matching PacketPacketLook up in the table get the ID of matched entry Look up in the table get the ID of matched entry Look up in the table get the ID of matched entry Look up in the table get the ID of matched entry Look up in the table get the ID of matched entry Look up in the table get the ID of matched entry Look up in the table do the action of matched entry Look up in the table do the action of matched entry Matching by using the IDs gotten in the former tables Matching 报文匹配过程 说明 在 SrHG DstHG 表中匹配时 报文将获取 SrHG 表项的 ID 和 DstHG 表项的 ID 在 SrL4 DstL4 表中匹配时 报文将获取 SrL4 表项的 ID 和 DstL4 表项的 ID 如果从Ethernet2 0 1接收到一个源IP地址为1 1 1 1 源TCP端口号为255 以太网类型为Ethernet II的报文 报文经过了前5个表的匹配后 获取了ID向量 1 1 0 1 0 在MR表中进行匹配 得到对该报文 的动作为丢弃 交换机则将该报文丢弃 匹配过程的说明 在 MR 表的匹配过程中 报文匹配到一个表项后 不再进行后续表项的匹配 如果在一个端口上下发一个 ACL 中的多条子规则 后下发的规则将被先匹配 4 QACL 相关问题诊断相关问题诊断 4 1QACL 主要调试命令 QACL模块提供了一些调试命令 在故障时进行查询 这些命令都位于隐藏命令模式下 1 查看ACL硬件表项 debug qss node 命令参数说明 其中slotnum是希望查询的槽位号 chipnum是希望查询的槽位号 startItemNum是从第几个表项开始查询 每次最多查询10个表项 命令使用说明如下 假设端口GigarbitEthernet 3 0 1上下发了一条规则 我们确认规则是否 已经下发可以查看底层驱动的配置信息 Quidway display current configuration interface GigarbitEthernet 3 0 1 S6506 ACL 维护手册内部公开 2005 6 14华为三康机密 未经许可不得扩散第 11 页 共 15 页 interface GigarbitEthernet 3 0 1 packet filter inbound ip group 3000 rule 0 system index 1 return Quidway 利用调试命令查询该acl规则在底层驱动保存的下发情况 Quidway testdiag deb qss node 3 0 0 Infomation of node 1 ulRuleIndex 9 InBound PortNo 15 SrHG IP Address 1 1 1 0 SrHG IP Address Mask 255 255 255 0 DstHG IP Address 2 2 2 0 DstHG IP Address Mask 255 255 255 0 MR ACTION Permit PT Entry 0 ulPTID 0 SrHG Entry 1 ulSrHGID 1 DstHG Entry 2 ulDstHGID 1 SrL4 Entry 0 ulSrL4ID 0 DstL4 Entry 0 ulDstL4ID 0 ulTCID 0 ulCounterID 0 ulREDCurveID 0 MR Entry Num 1 MR Entry 500 ID Group 0 1 1 0 0 这里各个字段的含义可以说是一目了然了 不需要做很多解释了 2 查看系统缺省ACL的报文匹配统计 不支持 3 清除系统缺省ACL的报文匹配统计 不支持 4 查看系统剩余ACL资源 display remaning acl entry slot 命令参数说明 其中slotnum是希望查询的槽位号 命令使用说明如下 通过执行该命令 我们可以查看该单板各芯片的ACL资源个数 从而对可以 配置的ACL个数作出估计 S6506 ACL 维护手册内部公开 2005 6 14华为三康机密 未经许可不得扩散第 12 页 共 15 页 6506 dis acl remaining entry slot 3 Slot 3 Resource Total Reserved Configured Remaining Start End Type Number Number Number Number Port Name Port Name PT Entry 31 14 0 17 Eth3 0 1 Eth3 0 24 PT ID 31 12 0 19 Eth3 0 1 Eth3 0 24 HG Entry 127 27 3 97 Eth3 0 1 Eth3 0 24 SrHG ID 63 5 1 57 Eth3 0 1 Eth3 0 24 DstHG ID 63 5 2 56 Eth3 0 1 Eth3 0 24 L4 Entry 127 13 0 114 Eth3 0 1 Eth3 0 24 SrL4 ID 63 13 0 50 Eth3 0 1 Eth3 0 24 DstL4 ID 63 13 0 50 Eth3 0 1 Eth3 0 24 MR Entry 511 43 3 465 Eth3 0 1 Eth3 0 24 PT Entry 31 14 0 17 Eth3 0 25 Eth3 0 48 PT ID 31 12 0 19 Eth3 0 25 Eth3 0 48 HG Entry 127 27 0 100 Eth3 0 25 Eth3 0 48 SrHG ID 63 5 0 58 Eth3 0 25 Eth3 0 48 DstHG ID 63 5 0 58 Eth3 0 25 Eth3 0 48 L4 Entry 127 13 0 114 Eth3 0 25 Eth3 0 48 SrL4 ID 63 13 0 50 Eth3 0 25 Eth3 0 48 DstL4 ID 63 13 0 50 Eth3 0 25 Eth3 0 48 MR Entry 511 43 0 468 Eth3 0 25 Eth3 0 48 通过上表 我们就能够很清楚地知道自己还有多少资源可以利用 4 2QACL 常见问题说明 1 not carefor interface参数的使用 not carefor interface是一个需要掌握的特性 它是一个非常重要的参数 用在packet filter命令当 中 虽然也是在端口上下发 但其不设置端口信息 相当于该规则在端口所在芯片上全局有效 它对于节约表项资源有重大价值有重要意义 也使得组网配置更加灵活 比如用户配置了一条 防病毒规则 acl name anti worm advanced rule 0 deny udp destination port eq 135 在FS24单板得所有端口都下发 interface e 0 1 packet filter inbound ip anti worm rule 0 S6506 ACL 维护手册内部公开 2005 6 14华为三康机密 未经许可不得扩散第 13 页 共 15 页 interface e 0 24 packet filter inbound ip anti worm rule 0 在所有24个端口全都下发 很麻烦 如果使用not carefor interface 只用在一个端口下发就可以 了 interface e 0 1 packet filter inbound ip anti worm rule 0 not carefor interface 2 版本升级有时ACL规则反而下发不下去了 这种情况一般发生在用户配置了大量的ACL规则 在升级到新的版本上时 发现一些规则不能下发了 返回资源不足的提示 这是因为不同版本的系统资源使用是不同的 一般新的版本合入了新的特性 占 用了更多的表项资源 可能导致配置恢复时有些ACL配置恢复不了 这时就需要对原来的规则作一些调整 了 3 统规则的存在可能对一些用户配置的规则产生影响 曾经有用户配置了如下规则 acl name arp rule link rule 0 deny arp 在端口下发后 却发现从这个端口上来的arp规则 并没有被Drop掉 原因是因为我们有一条系统的ACL 把arp报文送上cpu处理 它的优先级更高 当然就匹配不上用户配 置的规则了 4 ACL的缺省行为 一些路由器产品ACL的缺省动作是Deny all 我们经常看到一些用户在配置ACL的最后加上 rule permit ip any any 就是受到这种影响 我们的产品的缺省动作是permit all 就不需要加上上面一条了 5 关于规则匹配次序 与规则匹配有关的另一个关键点是表项的匹配次序 芯片在匹配每一张表时是按照从低地址 向高地址的次序来匹配的 因此如何组织这些表项就是一个很重要的问题 对PT HG L4表要按 长度做深度优先匹配 长度大的表项放在低地址位置先匹配 而对MR表就按照匹配的先后次序 来匹配 后配的放在低地址位置先匹配 因此 配置了许多ACL规则 下发次序是非常重要的 S6506 ACL 维护手册内部公开 2005 6 14华为三康机密 未经许可不得扩散第 14 页 共 15 页 这决定了哪些表项被匹配 哪些没有被匹配 比如下面的例子 acl name test advanced rule 0 permit ip destination 2 2 2 0 0 0 0 255 rule 1 deny ip 在端口interface g2 0 1上下发 interface g2 0 1 packet filter inbound ip test 测试发现 打入源ip为1 1 1 1 目的ip为2 2 2 2的报文 被过滤掉了 这就是因为 rule 1规则后 下发 其MR表项排在低地址位置先匹配 使得rule 0规则没有匹配上 6 关于规则下发次序 上个问题说的是规则匹配次序非常重要 规则下发次序也是非常重要的 当前版本的ACL在 处理规则下发时 严格的后下发后起作用 仍以上段中的例子为例 acl name test advanced rule 0 permit ip destination 2 2 2 0 0 0 0 255 rule 1 deny ip 在端口interface g2 0 1上下发 interface g2 0 1 packet filter inbound ip test rule 1 packet filter inbound ip test rule 0 目的ip为2 2 2 0网段的报文可以通过 这时display current configuration看到 interface gigabitethernet 2 0 1 packet filter inbound ip test rule 0 packet filter inbound ip test rule 1 这表示同一acl在端口下的规则下发次序没有保存下来 如果这时重启2号槽单板 发现目的ip为2 2 2 0 网段的报文被deny掉了 这是因为重新下发时 是按照rule的大小次序来下发的 这样就会出现规则次序问题 为了防止这类问题出现 用户在端口下