中文技术配置s8500路由交换机操作手册

第1第1章QoS简 11.1概 1 1 1 2 2 21.4.3对 3 3 1 12.1.1流分 12.1.2优先 1 2 2 4 4 6 7第3章QoS策略配 1 1 1 2 23.3.2定义 2 3 4 5 6 1 1 1 1 2i 2 2 3 3 3 1 1 3 3 3 4 5 5 5 5 6 6 1 1配置 2 2 3 3 4第7章聚合CAR配 1 1 1 1 1 2 2 2 2 3第8章VLAN策略配 1 1 1 18.2.2配置过8.2.2配置过 1 2 2 2 1 1 1 1 2 2 2 2第10章EACL配 1 1 1 1 2 4 4 5 71章QoS第1QoSQoS（QualityofService，服务质量）是各种存在服务供需关系的场合中普遍存在1章QoS第1QoSQoS（QualityofService，服务质量）是各种存在服务供需关系的场合中普遍存在FirstOut，先入先出），这种服务策略称作WWW、e-mail、FTPInternet上拓展新业务，VPN技术，将分布在各地的分支机构连接起来，开展一些事务性应用：比TelnetTelnet等关键任务虽然不一定要求高带宽，但非常注重低延迟，在拥塞发生时要求1-1章QoS1.4不同速率接口流量1章QoS1.4不同速率接口流量相同速率接口流量图1-11-1章QoS1章QoS1-111-第2章流分类、流量监管和流量第2章流分类、流量监管和流量整形2.1流分类规则可以使用IP报文头的ToS（TypeOfService，服务类型）字段的优先级一般在网络边界对报文分类时，同时设置报文IP头的ToS字段中的优先级位。这IP优先级作为分类标准。而队列技术也可以使用图2-1DS域和ToS2-如2-1所示，IPheaderTOS字段8bit，如2-1所示，IPheaderTOS字段8bit，其中3bit表示IP优先级，取值范围为0～73～64bit表示TOS优先级，取值范0～后才能根据评估结果实施调控策略。一般采用令牌桶（TokenBucket）对流量的1.图2-22-CBS（CommittedBurstSize，承诺突发尺寸），设置的突发尺寸必须大于最3.为了评估更复杂的情况，实施更灵活的调控策略，可以设置两个令牌桶。例如PIR（PeakrateInformationRate，突发信息速率EBS（ExcessBurstSize，超出突发尺寸4.如可以限制HTTP报文不能占用超过50%的网络带宽。如果发现某个连接的流量超ISP2-Diff-Serv提供代为标记DSCP的服务再转发5.TS（TrafficShaping，流量整形）是一种主动调整流量输出速率的措施。流量整形通常是将它们放入缓冲区或队列内，如图Diff-Serv提供代为标记DSCP的服务再转发5.TS（TrafficShaping，流量整形）是一种主动调整流量输出速率的措施。流量整形通常是将它们放入缓冲区或队列内，如图2-3所示。当令牌桶有足够的令牌时，再图2-3TS2.4.1流量监管配2-在Ethernet1/1/1接口上进行TP配在Ethernet1/1/1接口上进行TP配置，对由Ethernet1/1/1接口接受到的23451Mbps，如果超过流量限制则将违规报文丢弃。（假设已经配置ACL2345规则）[Sysname]interface[Sysname-Ethernet1/1/1]qoscarinboundacl2345cir1000cbs1000000ebsred2-system--配置ACL规参见ACL模块的port-group{在接口应用TPqoscarinboundacl[ipv6committed-burst-size[ebsexcess-burst-size]][pirebs缺省为0显示TP在接口上的信displayqoscar表2-2表2-32-system--表2-2表2-32-system--|aggregationagg-idqosgtsanycommitted-burst-size[ebsexcess-burst-size]]ebs缺省为0displayqosgtssystem--|aggregationagg-idqosgtsqueuequeue-numbercircommitted-information-rate[cbscommitted-burst-size[ebsexcess-burst-size]]ebs缺省为0displayqosgts对超过500kbps的对超过500kbps的报文流进行整形。[Sysname]interface[Sysname-Ethernet1/1/1]qosgtsanycir1.交换机Sysname1通过接口Ethernet0/1/1和交换机Sysname2的接口Ethernet1/1/1Server、PC1、PC2可经由Sysname1Sysname2流量超过54kbps时则丢弃违规报文；超过8kbps时则丢弃违规报文；Sysname2Ethernet0/1/1接口进入Internet的符ACL2346文流量限制 1000kbps，如果超过流量限制则将违规报文丢弃2-2.yeethernet0/1/1ye图2-43.2.yeethernet0/1/1ye图2-43.形（对超过500kbps的报文流进行整形），以降低在Sysname2Ethernet1/1/1[Sysname1]interface[Sysname1-Ethernet0/1/1]qosgtsanycir500[Sysname1-Ethernet0/1/1]quit[Sysname1]aclnumber[Sysname1-acl-basic-2001]rulepermitsource0[Sysname1-acl-basic-2001]quit[Sysname1]aclnumber[Sysname1-acl-basic-2002]rulepermitsource0[Sysname1-acl-basic-2002]quit[Sysname1]interface[Sysname1-Ethernet1/1/1]qoscarinboundacl2001cir54cbs54000ebs0red[Sysname1-Ethernet1/1/1]qoscarinboundacl2002cir8cbs80000ebs0red2-##在Ethernet0/1/1接口上对接受的符合ACL2346规则的报文(假设用户已经设置[Sysname2]interface[Sysname2-Ethernet0/1/1]qoscarinboundacl2346cir1000cbs1000000ebs2-3QoS第3QoSQoSQoS3QoS第3QoSQoSQoS1.2.3.在接口视图下应用QoS策略3-33.3QoS1.表3-12.配置一个类test，匹33.3QoS1.表3-12.配置一个类test，匹配目MAC地址为0050-ba27-bed3的报文[Sysname]trafficclassifier3-system--[operator{and|or}displaytrafficclassifier3QoS1.表3-23-system--behavior-name：流行3QoS1.表3-23-system--behavior-name：流行[cbscommitted-burst-size[ebsexcess-burst-size]][pirfilter{deny|permitredirect{cpu|interfaceinterface-typeinterface-number|next-hop{ipv4-add[ipv4-add]|ipv6-add[interface-typeinterface-number][ipv6-addlink-aggregationgroup-number]]}DSCP802.1premarkdot1pdrop-precedence-local-网络VLANID值remarkcustomer-vlan-vlan-id-displaytraffic3QoS说明动作：discard表示丢弃数据包、pass表示发送数据包。2.配置一个流行为test，使3QoS说明动作：discard表示丢弃数据包、pass表示发送数据包。2.配置一个流行为test，使用流量监管，流的承诺速率是100kbps[Sysname]trafficbehavior[Sysname-behavior-test]carcir表3-33-system---behavior-displayqospolicyuser-[policy-name[tcl-name]3QoS说明如果QoS策略在定义流分类规则时引用了ACL，则不同转发方式的处理过3QoS说明如果QoS策略在定义流分类规则时引用了ACL，则不同转发方式的处理过对于软转发：当if-match中引用的ACL规则的动作为denyif-match，继续进行后续规则的查找ACL规则的动作，以流行为中定义的动作为准。报文匹配只使用ACL中的分类域。1.表3-42.3-tsystem--port-group{{inbound|outbounddisplayqospolicy[inbound|outbound]displayqospolicyuser-[policy-name[tcl-name]3QoS[Sysname]qospolicytest[Sysname-qospolicy-test]classifiertest_class3QoS[Sysname]qospolicytest[Sysname-qospolicy-test]classifiertest_classbehaviortest_behavior[Sysname-qospolicy-test]quit[Sysname]interfaceethernet[Sysname-Ethernet1/1/1]qosapplypolicytest策略的运行情表3-5QoS3-displayqospolicyuser-defined[policy-[classifiertcl-name]displayqospolicyinterface[interface-typeinterface-number][inbound|outbound][tcl-name4第4章硬件实现拥塞管理4.14第4章硬件实现拥塞管理4.1说明目前，85系列交换机只支持SP模式0，即严格按照优先级对队列进行调WRRWRR队列分为4-4WRR队列：所有队列全部采用WRR调度，用户可以根据需要将输出队列划分为4WRR队列：所有队列全部采用WRR调度，用户可以根据需要将输出队列划分为WRR优先级队列组1和WRR优先级队列组2。进行队列调度时，设11中没有报文发送时，设备才在优先级队列组2中进行轮询调度。带最大时延的WRR队列：带最大时延的WRR队列调度算法与基本WRR说明4.2配置SP表4-1SP1.2.4-system--port-group-name|aggregationagg-id}qosdisplayqossp[interface-typedisplay命令可以在任意视44.3配置分组WRRWRR，接口上未被44.3配置分组WRRWRR，接口上未被配置的队列使用缺省WRR调度值和缺优先级表4-2分组WRR1.配置队列1、3、4属于为WRR1，权重分别为1、5、配置队列5、6属于为WRR2，权重分别为20、2.4-system--port-group{使能接口的WRR队qos配置分组WRRqoswrrqueue-idgroup{{1|2weightschedule-value|sp显示WRRdisplayqoswrr441345611122154-5第5级映括802.1p优先级、DSCP、EXP、IP优先级等在内的一系列参数。855第5级映括802.1p优先级、DSCP、EXP、IP优先级等在内的一系列参数。85系列交换机上报文的优先级映射过程如图5-1NY报文带VLAN报接收接图5-1系列交换机提供多张优先级映射表，分别对应相应的优先级映射关系。各dot1p- 优先级到本地优先级映射dot1p-优先级到丢弃优先级映射dscp- 到本地优先级映射dscp- 到丢弃优先级映射dscp-dot1p：DSCP到802.1p优先级映射表dscp-dscp：DSCPDSCP映射exp-rpr：EXPRPR优先级映射dot1p-rpr：802.1p优先级到RPR优先级映射表5-5表5-1dot1p-lpdot1p-dpdot1p-rpr表5-3exp-rpr5-021222324252丢弃优先级802.1p020012182223134145表5-1dot1p-lpdot1p-dpdot1p-rpr表5-3exp-rpr5-021222324252丢弃优先级802.1p02001218222313414515606707dot1p-lp映dot1p-dp映dot1p-rpr映802.1p优先级本地优先级丢弃优先级RPR优先级022210222122331244125512660277025表5-4ippre-rpr5.2.1配置准5.2.2配置过表5-55-system--qosmap-table{dot1p-lp5表5-4ippre-rpr5.2.1配置准5.2.2配置过表5-55-system--qosmap-table{dot1p-lpdot1p-dp|dscp-lp|dscp-dp|dscp-dot1p|dscp-dscp|exp-rpr|dot1p-rpr|ippre-rpr}0212223242526272627251.2.[Sysname]qosmap-tabledot1p-51.2.[Sysname]qosmap-tabledot1p-0246135701235-802.1p0010213142526373export-displayqosmap-table[dot1p-lp|dot1p-dp|dscp-lp|dscp-dp|dscp-dot1p|dscp-dscp|exp-rpr|dot1p-rpr|ippre-rpr]55.3端口优先级取值范围 0～7，用户可以根据需要设置端口的优先55.3端口优先级取值范围 0～7，用户可以根据需要设置端口的优先级表5-71.配置端口优先级为72.75-system--port-group-name|aggregationagg-id}55.41.VLAN；2.服务图5-23.[Sysname]interfaceethernet1/1/1[Sysname-Ethernet1/1/1]qospriority1[Sysname-Ethernet1/1/1]quit[Sysname]interfaceethernet1/1/2[Sysname-Ethernet1/1/2]qospriority3[Sysname-Ethernet1/1/2]quit55.41.VLAN；2.服务图5-23.[Sysname]interfaceethernet1/1/1[Sysname-Ethernet1/1/1]qospriority1[Sysname-Ethernet1/1/1]quit[Sysname]interfaceethernet1/1/2[Sysname-Ethernet1/1/2]qospriority3[Sysname-Ethernet1/1/2]quit5-35[Sysname]interfaceethernet1/1/3[Sysname-Ethernet1/1/3]qospriority[Sysname-Ethernet1/1/3]quit5[Sysname]interfaceethernet1/1/3[Sysname-Ethernet1/1/3]qospriority[Sysname-Ethernet1/1/3]quit5[Sysname]interfaceethernetqos75-6第6（CongestionAvoidance）是一种流控机制，它可以通过监视网络资源（如队列或流6第6（CongestionAvoidance）是一种流控机制，它可以通过监视网络资源（如队列或流的负载。设备在丢弃报文时，并不排斥与源端的流控动作（比如TCP流控）的配传统的丢包策略采用尾部丢弃（Tail-Drop）的方法。当队列的长度达到某一最大2RED或WRED（WeightedRandomEarlyDetection，加权随机早期检测）。在 类算法中，为每个队列都设定上限和下限，对队列中的报文进行如下处理与RED不同，WRED生成的随机数是基于优先权的，它引入IP优选权区别丢6-63.WRED和队列机制的关系如下图所示63.WRED和队列机制的关系如下图所示queue1queue2queueN-1weightN-queueN图6-1WRED当WRED和WFQ配合使用时，可以实现基于流的WRED。在进行分类的时候，不配置6.2.1WRED6-66.3WRED在完成上述在任意视图下执行display命令66.3WRED在完成上述在任意视图下执行display命令可以显示配WRED的运表6-2WRED6-displayqoswredinterface[interface-typeinterface-number]displayqoswredtable[table-namesystem--queuequeue-drop-level]low-limitlow-limithigh-limithigh-limit缺省情况下，low-limit为10，10port-group{qoswredapplytable-6WRED典型配置举1.6WRED典型配置举1.2.[Sysname]qoswredqueuetablequeue-[Sysname]interfaceethernetwred6-7章聚合CAR第7章聚合CAR7.1聚合CAR7章聚合CAR第7章聚合CAR7.1聚合CAR7.2接口上应用聚合确定了聚合CAR使用的CAR的各个参数取确定了应用CAR确定了在接口上匹配数据流的规则：通过ACL匹配数据流需要首先定关于定ACL的描述请参见本书ACL模块的描7-system--配置CAR的各个参qoscarcar-nameaggregativecircommitted-information-rate[cbscommitted-burst-size[ebsexcess-burst-size]][piractionred报文的缺省动作为port-group{qoscarinboundacl[ipv67章聚合CAR对于红色报文采取丢弃的动作,Ethernet6/1/1ACL规则2345的报文上。qoscaraggcar-17章聚合CAR对于红色报文采取丢弃的动作,Ethernet6/1/1ACL规则2345的报文上。qoscaraggcar-1aggregativecir200cbs2000reddiscardinterfaceethernet1/1/1[Sysname-Ethernet1/1/1]qoscarinboundacl23457.3在流行为中引用聚合确定了聚合CAR使用的CAR的各个参数取确定了引用的流行表7-27-system--配置CAR的各个参committed-information-rate[cbscommitted-burst-size[ebsexcess-burst-size]][piractionredaction:carnamecar-displayqoscar显示指定聚合CARCAR配置和统计7章聚合CAR配置聚合CARaggcar-1采取CAR参数取值，7章聚合CAR配置聚合CARaggcar-1采取CAR参数取值，cir取值200，cbs取值<Sysname>system-view[Sysname]qoscaraggcar-[Sysname]trafficaggregative7-displaytraffic显示指定聚合CARCAR配置和统计displayqoscar[car-name8VLAN第8VLAN策略配VLAN策略简VLAN应8VLAN第8VLAN策略配VLAN策略简VLAN应用：QoS策略对该VLAN的所有流量生效VLAN策略在用户认证端口上不生效。用户认证端口动态加入VLAN、退出VLAN，相应的VLAN策略不会应用到这个端口上。VLANVLAN上不生效。VLANVLAN上。例如，在运行GVRP协议的情况下，交换机可能会动态创建VLAN，相应的VLAN策略在动态VLAN上不生效。说明应用VLAN策8.2.1配置准策略已经配置完毕，定义策略的描述请参见确定了应用VLAN策略的VLAN8.2.2配置过8-system--VLANvlan-id-list{inbound|outbound8VLANVLAN策略典型配置举8VLANVLAN策略典型配置举用VLAN策略test。[Sysname]trafficclassifiercl1operatoror[Sysname-classifier-cl1]if-matchacl2000[Sysname-classifier-cl1]quit[Sysname]trafficbehaviorbe1[Sysname-behavior-be1]carcir8[Sysname-behavior-be1]quit[Sysname]qospolicytest[Sysname-qospolicy-test]classifiercl1behaviorbe1[Sysname-qospolicy-test]quit[Sysname]qosvlan-policytestvlan2003004005006007008009008-显示VLAN策略信displayqosvlan-policy{policy-name|vlanvlan-id}[slotslot-id9第9像配流镜像分为2种：流镜像到接口、流镜像到CPU流镜像9第9像配流镜像分为2种：流镜像到接口、流镜像到CPU流镜像到CPU：将接口的符合要求的报文复制一份并转发到CPU，这里的指的是配置了流镜像的接口所在板上CPU说明CPU。表9-1说明9-system---9说明9.3表9-39.49.4.1流镜像到接口9说明9.3表9-39.49.4.1流镜像到接口配置举1.需求为：通过ServerPCA发出的所有源IP的报文进行分析监控。9-displayqospolicyuser-defined[policy-[classifiertcl-name]system---mirror-to口所在板的CPU92.Service图9-13.[Sysname]acl92.Service图9-13.[Sysname]aclnumber[Sysname-acl-basic-2000]rule1permitsource[Sysname-acl-basic-2000]quit0[Sysname]trafficclassfier[Sysname-classifier-1]if-matchacl2000[Sysname-classifier-1]quit[Sysname]trafficbehavior[Sysname-behavior-1]mirror-tointerfaceethernet1/1/1[Sysname-behavior-1]quit[Sysname]qospolicy[Sysname-qospolicy-1]classifier1behavior1[Sysname-qospolicy-1]quit[Sysname]interfaceethernet[Sysname-Ethernet1/1/2]qosapplypolicy19-10EACL第10EACLEACLEACL（EnhancedACL，增强型ACL），即把ACL重定向到业务板。目前8510EACL第10EACLEACLEACL（EnhancedACL，增强型ACL），即把ACL重定向到业务板。目前85说明85系列交换机只有LSB1NAMB类型单板支持EACLEACL配置任务表10-1EACL配置自反是动态生 表项其基本思想就是根据内网访问外网的情况生成外网的ACL规则，如果内网没有访问外网，外网不能主动发起对内网的访表10-2配置自反10--进入高级ACL视aclnumberacl-number[match-order{config|auto}]-配置自反ACLrule[rule-id]permit{icmp|tcp|udp}[{source-addrwildcard|any}][{dest-addrwildcard|any}][source-portoperatorport1[port2]][destination-portoperatorport1[port2]]reflective[time-rangename]ACL退出高级ACL视-配置自反10EACL配说明定向到业务处理板。关于重定向策略的配置，请参见“3QoS策略配置配置BTBitTorrent（BT）是一种用来进行文件下载的共享软件，其特点是BT下载流量占据，严重影响其它网络业务，由此产生了对BT流量进行有效控制的需求。10EACL配说明定向到业务处理板。关于重定向策略的配置，请参见“3QoS策略配置配置BTBitTorrent（BT）是一种用来进行文件下载的共享软件，其特点是BT下载流量占据，严重影响其它网络业务，由此产生了对BT流量进行有效控制的需求。从而达到限制BT报文传输的目的。10--if-matchaclacl---filter-qospolicypolicy----qosapplypolicypolicy-name{inbound|outbound}EACL子接口绑QoS策略时，outbound参数的10EACL配表10-3BT10--进入ACL视aclnumberacl-number[match-order{config|auto}]-rule[rule-id]permittcp[rule-10EACL配表10-3BT10--进入ACL视aclnumberacl-number[match-order{config|auto}]-rule[rule-id]permittcp[rule-退出ACL视--if-matchaclacl-if-matchprotocol-配置CAR动carcircommitted-information-ratecbscommitted-burst-sizeebsexcess-burst-size[redaction]-qospolicypolicy----qosapplypolicypolicy-name{inbound|outbound}QoS策outbound参10EACL说明BT限流配置完成后，用户还需要配置“QoS重定向策略”，将指定端口下的报文定向到业务处理板。关于重定向策略的配置，请参见“3QoS策略配置10.5EACLACL1.通过配置自ACL，达到只有10EACL说明BT限流配置完成后，用户还需要配置“QoS重定向策略”，将指定端口下的报文定向到业务处理板。关于重定向策略的配置，请参见“3QoS策略配置10.5EACLACL1.通过配置自ACL，达到只有内网访问了外网之后才允许外网访问内网的目的，发起对PC2的访问，但PC2不能主动发起对PC1的访问。LSB1NAMB单板位于8号槽位2.VLAN40VLAN33.#[Sysname]aclnumber[Sysname-acl-adv-3000]rulepermittcpreflective[Sysname-acl-adv-3000]rulepermitudp10-10EACL配[Sysname-acl-adv-3000]rulepermiticmpreflective[Sysname-acl-adv-3000]quit[Sysname]trafficclassifier[Sysname-classifier-1]if-match10EACL配[Sysname-acl-adv-3000]rulepermiticmpreflective[Sysname-acl-adv-3000]quit[Sysname]trafficclassifier[Sysname-classifier-1]if-matchacl3000[Sysname-classifier-1]quit[Sysname]tr