华为端口镜像ACL流过滤

1、1华为交换机端口镜像设置 <HUAWEI> system-viewHUAWEI observe-port 1 in terface gigabitethernet 1/0/1配置观察端口HUAWEI in terface gigabitethernet 2/0/1HUAWEI-GigabitEthernet2/0/1 port-mirrori ng to observe-port 1 in bou nd配置镜像端口2、华为交换机ACL控制列表和包过滤设置ACL控制列表种类： acl #X rule permit/de ny source source_address source_

2、wildcard/a ny eg:、标准访问控制列表：只能使用源地址描述数据，说明是允许还是拒绝从从 192. U 來的数据包不催 通过！“202 来的数拥包町以通过！命令格式:路III器acl 1199、扩展访问控制列表：在标准控制列表的根底上添加基于协议和端口号的控制 rule deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type host-redirectCMP 机帀疋向报文 3、流策略Traffic Policy 丨用于QoS复杂流分类，实现丰富的QoS策略。Traffic Policy 分为三局部：CD、流分类

3、Classifier 模板：定义流量类型。一个Classifier可以配置一条或多条if-match 语句，if-match 语句中可以引用 ACL规那么。不同的Classifier模板可以应用一样的ACL规那么。一个 ACL规那么可以配置一个或多个Rule语句。C、流动作Behavior模板：指，用于定义针对该类流量可实施的流动作。一个Behavior 可以定义一个或多个动作。C、流策略Traffic Policy丨模板：将流分类Classifier和流动作Behavior关联，成为一个Classifier & Behavior 对。当Traffic Policy模板设置完毕之后，需

4、要将 TrafficPolicy模板应用到接口上才能使策略生效。PortPortACLACL一个 Traffic-policy 中可以配置一个或多个 Classifier & Behavior 对。当收到一个报文， 做复杂流分类处理时，会按照 Traffic-policy中 Classifier & Behavior对的配置顺序进展匹配。如果命中，那么停止匹配；如果不命中，那么匹配后面的 Classifier ；如果是最后一个 Classifier ，且还不命中，那么报文走正常的转发处理，类似于没有应用流分类策略。Classifier 之间的顺序可以通过命令行classifie

5、r classifier-name behavior behavior-name precedence precedence 修改。 例如， Traffic-policy T 中配置了 A、B、 C 三个 Classifier ：#traffic policy Tclassifier A behavior Aclassifier B behavior Bclassifier C behavior C缺省情况下，A、B、C三个Classifier的顺序分别是 1、2和 3，与配置的顺序一样。如果要将 A 排在最后，可以执行如下命令：classifier A behavior A preceden

6、ce 4结果是：traffic policy T classifier B behavior B classifier C behavior C classifier A behavior A precedence 4此时，B之前的顺序号1没有被占用,因此可以在 B 之前添加一个 Classifier 假设是 D，那么可执行如下命令实现。classifier D behavior D precedence 1结果是：traffic policy Tclassifier D behavior D precedence 1classifier B behavior Bclassifier C be

7、havior Cclassifier A behavior A precedence 4#如果按如下方法，不指定 precedence 值的方式添加 D， classifier D behavior D结果如下：#traffic policy Tclassifier B behavior Bclassifier C behavior Cclassifier A behavior A precedence 4classifier D behavior D#If-match 语句之间的匹配顺序由于 Classifier 中配置的是一个或多个 if-match 语句，按照 if-match 语句配置

8、顺序进展 匹配。报文命中 if-match 语句后，是否执行对应的 behavior 动作，取决于 If-match 语句 之间是And还是Or逻辑。If-match 语句之间的 And 和 Or 逻辑如果流分类模板下配置了多个if-match 语句，那么这些语句之间有 And和Or两种逻辑关系：Or 逻辑：数据包只要匹配该流分类下的任何一条 if-match 语句定义的规那么就属于该类。 And逻辑：数据包必须匹配该流分类下的全部if-match 语句才属于该类。流策略的执行过程if-match 语句间是Or逻辑图 2 流 策 略 的 执 行 过 程 Or 逻Get fist claKif

9、efGet firs；辑如图2,针对每个Classifier ，如果lf-match 语句之间是 Or逻辑，按照if-match语句配置顺序进展匹配，数据包一旦命中某个if-match 语句: 如果命中的if-match 语句没有引用 ACL那么执行behavior定义的动作。如果命中的if-match 语句引用了 ACL,且命中的是permit规那么，那么执行 behavior定义的动作；命中的是 deny规那么，那么直接丢弃报文。如果数据包没有命中任何if-match 语句，那么不支持任何动作，继续处理下一个 Classifier流策略的执行过程if-match语句间是And逻辑如果If-

10、match语句之间是And逻辑，设备先会将这些if-match语句进展合并这里的"合 并'相当于集合的乘法操作，再按照Or逻辑的处理流程进展处理。对于引用 ACL的if-match 语句，不是将 ACL部的各条 Rule进展合并，而是逐条与其他 if-match 语句进展合并。因此值得注意的是：And逻辑中if-match 语句的顺序不影响匹配 结果，但ACL中Rule的顺序仍然会影响匹配结果。例如，某个流策略下配了如下一个classifier :acl 3000#traffic classifier example operator andif-match acl 3000

11、if-match dscp af11#那么设备首先进展 if-match 语句的合并，合并结果相当于：#acl 3000#traffic classifier example operator orif-match acl 3000#traffic behavior exampleremark dscp af22#traffic policy exampleshare-modeclassifier example behavior example#interface GigabitEthernet2/0/0traffic-policy P inbound#对于And逻辑，系统默认License

12、中最多只允许存在一条引用ACL的if-match 语句；而Or逻辑中，可以有多条引用ACL的if-match 语句。如果更改License使And逻辑允许存在多条引用ACL的if-match 语句，那么这些if-match语句的合并规那么是：permit + permit = permitpermit + deny = denydeny + permit = denydeny + deny = denyIf-math 语句引用ACL时的匹配过程如果if-match 语句指定的是 ACL，需要在ACL的多个Rule语句中进展匹配：首先查找用户 是否配置了该 ACL因为流分类允许引用不存在的ACL

13、，命中的第一条那么停止匹配，不再继续查找后续的规那么。说明：当Rule中的动作为Deny时，如果behavior是镜像或采样，即使对于丢弃的报文，也会执行 behavior 。ACL中可以指定 permit或deny规那么，它与ACL所在Classifier所对应的Behavior中的动作的关系是：ACL为deny,那么不关心 Behavior，报文最终动作是 deny；ACL为permit，那么执行 Behavior，报文最终动作是 Behavior 。acl 3999traffic classifier acl if-match acl 3999traffic behavior testremark ip-pre 7traffic policy test classifier acl behavior test interface Gig