中兴59系列ACL和QoS功能介绍和相关配置

59系列交换机ACL&QoS功能介绍及相关配置主讲：王克川日期：Sunday,April23,2023主要内容一、ACL(AccessControlList)的基本原理二、59系列交换机中ACL功能及相关配置三、QoS(QuanlityofService)的基本原理四、59系列交换机中QoS的功能及相关配置访问控制列表（AccessControlList）：一个有序的语句(rule)集，它通过匹配报文中的信息与访问列表的参数，来允许或拒绝报文通过某个接口。ACL是应用在路由器或交换机接口的指令列表。这些指令告诉路由器或三层交换机哪些分组可以接收以及哪些分组需要拒绝。接收和拒绝基于一定的条件，例如源地址、目标地址及TCP/IP端口号等。什么是ACL限制网络流量，提高网络性能。例如，ACL能够基于分组的协议，指定一定分级的级别可被路由器优先处理。提供流量控制。提供网络访问的基本安全级别。例如，ACL允许一个主机访问你的网络的一部分，而阻止其它主机访问相同区域。在路由器/交换机接口上配置ACL决定哪种流量被转发或被阻塞。

ACL的作用创建一个ACL时顺序是至关重要的当流量进入应用了ACL的接口时，交换机内部的操作系统软件会将分组跟ACL中定义的规则相比较。比较判断是按照网络管理员在ACL中输入的语句顺序执行的。当比较分组时，一次一句按顺序比较，直到与某一条语句匹配。一旦与某一条语句匹配，就执行匹配的语句行中所指定的动作，不再检查其他条件语句。如果所有的条件语句都没有被匹配，则最后将强加一条拒绝全部流量的暗含语句。即使这条拒绝全部流量的语句在ACL中最后一行是看不到的，缺省的情况下在最后也是拒绝所有的流量。

ACL创建顺序

当一个分组进入某一个接口时，会首先检查该分组是否可路由或可桥接，然后会检查是否在入接口上应用了ACL。如果有ACL，就将该分组与列表中的条件语句相比较。如果分组被允许通过，就继续检查路由选择表条目以决定转发到的目的接口。

ACL工作过程主要内容一、ACL(AccessControlList)的基本原理二、59系列交换机中ACL功能及相关配置三、QoS(QuanlityofService)的基本原理四、59系列交换机中QoS的功能及相关配置59系列交换机中对ACL的控制只在数据流进入交换机的时候作了控制，即只有in单方向的，在out方向无法作ACL控制。当ACL表中无任何规则时，应用到端口上表示permitany当ACL中存在一条或一条以上规则，则表中默认最后一条规则为denyany一条ACLrule配置完成后，必须退出ACL配置模式该条目方可生效ACL配置注意事项

访问控制列表分类编号范围访问控制列表种类说明1－991000－1499IP标准访问控制列表(standardACL)基于IP的标准访问控制列表，只对源IP地址进行过滤100－1991500－1999IP扩展访问控制列表(extendACL)基于IP的扩展访问控制列表，IP包头的五元组和其它部分协议控制信息进行过滤200－299二层访问控制列表(linkACL)基于以太网二层数据包头和部分二层信息进行过滤300－349混合访问控制列表(hybridACL)基于IP包头的五元组和部分以太网二层信息进行过滤2000-2499/2500-2999IPV6标准/扩展访问控制列表只适用于IPV6的包，基于源IPV6地址或源和目的IPV6地址进行过滤ACL类型数字型Number名字型Name别名型AliasACL流过滤流过滤就是将与ACL规则匹配的数据流进行过滤操作：丢弃操作（deny），该操作将匹配流分类规则的数据流丢弃，而允许其他所有流量通过。管理员使用此方式丢弃那些无用的、不可靠、值得怀疑的业务流，从而增强网络的安全性。允许操作（permit），该操作对匹配流分类规则的数流不作丢弃处理，允许通过Time-range配置配置ACL作用的时间域，当ACL没有作用在该时间段，此ACL没有生效。ACL性能每个ACL支持的最大规则：100整机支持的ACLtable数目：52:2849/59:3349名字型ACL的最大ACLtable数目：1000整机支持的最大ACLrule数目：可配3500应用2000条StandardACL的最大ACLrule数目：3500应用2000条linkACL的最大ACLrule数目：3500应用2000条extendACL的最大ACLrule数目：3500应用2000条hybridACL的最大ACLrule数目：3500应用128条IPV6StandardACL的最大ACLrule数目：2000应用128条IPV6extendACL的最大ACLrule数目：2000应用128条ACL配置步骤

ACL的配置包括以下三个步骤，请依次进行配置：

配置时间段：配置time-range，不是必须 定义访问控制列表： 将访问控制列表应用到物理端口ACL配置实例

标准ACl测试用例：只对源IP地址或者某个具体的IP网段进行控制，其中可以加入时间的限制。ZXR10(config-std-acl)#rule1deny192.168.1.10.0.0.0time-rangeworkZXR10(config-std-acl)#rule2permitanyZXR10(config-std-acl)#exiZXR10(config)#intgei_1/1ZXR10(config-if)#ipaccess-group1in在标准acl配置模式配置，禁止源IP地址是192.168.1.1的数据包从gei_1/1端口进入。其中的time-rangework表示在“work“定义的时间段内生效。Work的定义如下：Time-range:work08:30:00to18:00:00working-day表示在工作日（星期一到星期五）的08:30:00到18:00:00生效。扩展ACL：可以根据源IP地址、目的IP地址、IP协议号、UDP/TCP传输层的目的端口号和源端口号（称之为IP五元组），ICMP，TOS字段、PRECEDENCE字段、FRAGMENT字段、TCPestablished字段等来进行报文控制。ZXR10(config-ext-acl)#rule1denytcp192.168.1.00.0.0.255eqtelnetany在ext-acl配置模式配置，禁止源IP地址为192.168.1.0/24、源端口号为23（telnet）的TCP数据包通过。ACL配置实例

二层ACl：可以针对二层的数据帧里面的字段如源MAC地址，目的MAC地址，802.1puserpriority字段优先级，vlan-id进行过滤。ZXR10(config)#acllinknu200ZXR10(config-link-acl)#rul1peranyin40940000.0000.00010000.0000.0000egressanyZXR10(config-link-acl)#exiZXR10(config)#intgei_1/1ZXR10(config-if)#ipac200in端口允许源MAC地址为0000.0000.0001，VLANID为4094的数据包通过。ACL配置实例

混合ACl：通过二层MAC地址、VLAN信息和三层的IP五元组信息进行数据流控制，它可以看作扩展ACL和二层ACL的综合ZXR10(config)#aclhybridnametest1ZXR10(config-hybd-acl)#rule1denyipanyanyarpZXR10(config-hybd-acl)#rule2denyipany192.168.1.00.0.0.255ipegress0000.0000.00010000.0000.0000ZXR10(config-hybd-acl)#rul3peripanyanyanyZXR10(config-hybd-acl)#exiZXR10(config)#intgei_1/1ZXR10(config-if)#ipaccess-grouptest1in

配置混合名字型ACLtest1，禁止arp包从gei_1/1进入，禁止目的MAC地址为0000.0000.0001，目的IP地址为192.168.1.0/24的IP数据包通过。

ACL配置实例

IPV6ACl：基于源IPV6地址或源和目的IPV6地址进行过滤ZXR10(config)#ipv6aclextendednumber2500ZXR10(config-ext-v6acl)#rul1denyipanyanyZXR10(config-ext-v6acl)#exitZXR10(config)#intgei_1/1ZXR10(config-if)#ipaccess-group2500in配置扩展型IPV6ACL，禁止IPV6的包进入端口gei_1/1。

ACL配置实例

ACL的维护与诊断

ZXR10(config)#showaclZXR10(config)#showrunintZXR10(config)#showaccess-listboundZXR10(config)#showaccess-listbriefZXR10(config)#showaccess-listconfigZXR10(config)#showaccess-listusedZXR10(config)#showaccess-listaliasZXR10(config)#showipv6acl

测试注意事项注意测试的遍历性注意ACL的性能测试在测试ACL时结合各种流量测试

主要内容一、ACL(AccessControlList)的基本原理二、59系列交换机中ACL功能及相关配置三、QoS(QuanlityofService)的基本原理四、59系列交换机中QoS的功能及相关配置QOS是一组服务要求，其目标是为网络通信建立一个有保证的传输系统。本文所指的QOS是IPQOS，QOS主要有IETF建议的综合服务(IntServ-IntegratedServicesArchitecture)体系和区分服务(DiffServ-DifferentiatedServicesArchitecture)两种体系结构。59上只支持区分服务的QOS模型。

QOS基本概念主要内容一、ACL(AccessControlList)的基本原理二、59系列交换机中ACL功能及相关配置三、QoS(QuanlityofService)的基本原理四、59系列交换机中QoS的功能及相关配置59交换机QoS的主要功能流分类：对通过交换机的报文进行分类，通过使用访问控制列表（ACL）实现。

优先级标记：对数据包的QoS参数进行改写。包括二层的802.1puserpriority，三层TOS/DSCP，交换机内部使用的TrafficClass和丢弃基本参数。流量监管：流量监管就是对某一业务流进行带宽限制，流重定向：将指定数据流定重定向到用户指定的出接口或者下一跳，实现流量监控或策略路由功能。队列调度：对出口队列（0－7）进行调度，对高优先级的数据流提供带宽、延时、抖动等参数的保证。59支持严格优先级调度（SP）和加权轮循（WRR）两种调度方式。59交换机QoS的主要功能拥塞避免：实现出口上队列拥塞时的流流量控制，对不同丢弃级别的数据包进行区别对待。59只支持尾丢弃一种方式，当队列长度达到某一最大值时，所有新到来的报文都被丢弃。流量整形：流量整形是对输出报文的速率进行整形或限速，使报文以均匀的速率发送出去。59只支持出端口整形一种方式。

流量统计：对匹配ACL规则的数据流进行流量统计流镜像：即将指定数据流复制到监控端口或者是CPU，用来进行网络监控和故障排除。59QOS基本动作59的QOS分为基于端口和基于流的动作，基于流的动作由ACL规则定义，其基本动作如下：

IP优先级以太网交换机可为特定报文提供优先级标记的服务，优先级的种类包括Precedence，TOS、DSCP、802.1pprioriy等，这些优先级分别适用于不同的QoS模型，在不同的模型中被定义。Precedence、TOS和DSCP优先级是定义在三层IP头中的TOS字段；802.1p用户优先级定义在二层802.1Q标签头中的TCI字段中。IP优先级1、Precedence，TOS和DSCPIP优先级

IPheader有一个8-bit的优先级区域，它通常被分为precedence部分和TOS部分，它的具体定义如下：

0567DSCPCUIPv4的TOS字节或者IPv6中的流字节DSCP：区分服务标记CU：保留给ECNIP优先级由于对区分服务类型的多样化的要求，在之后的RFC文档中对这个区域进行了重新的分配，命名为DSCP：也就是IP包头的区分服务标记域IP优先级2、802.1pprioriy

在vlantag的TCI区域有3位的优先级区域，它指明帧的优先级。一共有8种优先级，主要用于当交换机阻塞时，优先发送优先级高的数据包。优先级映射

数据包内的优先级必须通过映射才能表现出他的作用来，而任何优先级的映射都必须通过相应的映射表来实现，在交换机中有这几个映射表：1、802.1p优先级到cos的映射表：这个映射表主要把包中的tag中的每个优先级映射到一个具体的出口队列，在各个交换机上的默认设置是不同的，但一般都是一一映射的，即priority0-〉cos0….priority7->cos7。

优先级映射2、802.1p优先级到丢弃优先级的映射表：这个映射表主要把包中的tag中的每个优先级映射到具体的丢弃优先级（DropPrecedence），这个丢弃优先级将在拥塞避免时有用。3、DSCP映射表：DSCP映射表一般可以把包中的DSCP值映射到新的DSCP值，新的c出口队列还有新的丢弃优先级，但和其他映射表不同的是，但他被配置以后，不会马上起效，必须在端口trustdscp才可以进行dscp的映射。流量监管和整形

为了使有限的网络资源可以更好地为用户服务，QoS在输入端口上可以对特定用户的业务流进行监管，使之适应分配给它那部分网络资源。流量监管的处理流程如下图：流量监管和整形

METER用来实现对数据流的测量，根据测量的结果，将数据包分几种颜色，它可以工作在色盲（color-blind）和色敏感(color-aware)两种模式下。在色盲模式下，他只根据这个测量的结果着色；而在色敏感模式下，它会根据这次测量的结果和包以前的颜色进行重新着色。MARKER根据METER的结果对数据包进行相应的QoS动作。单速率三色标记算法（SrTCM）：测量信息流，并根据三种流量参数（提交信息速率，CommittedInformationRate,CIR；提交组量大小CommittedBurstSize，CBS；超量组量大小ExcessBurstSize，EBS）对包进行标记，这三个参数我们分别称为绿，黄和红标记。如果包没有超过CBS就是绿的，如果超过CBS但未超过EBS就是黄的，如果超过EBS就是红的。

双速率三色标记算法（TrTCM）：测量信息流，并根据两种速率：峰值信息速率（PeakInformationRate，PIR）和提交信息速率（CommittedInformationRate,CIR）和他们各自相关的组量大小（CBS和PBS）来标记数据包为绿，黄和红。如果包超过PIR标记为红色，否则，超过CIR标记为黄色，没有超出CIR标记为绿色。流量监管和整形标记（MARKER）

经过METER后的任何数据包会有一个颜色：绿、黄或红,METER可以选择将红色的数据包丢弃或者转发。对应没有丢弃的数据包，MARKER可以对其QOS参数进行重新标记，一般可以对数据包802.1p优先级字段、DSCP优先级字段和交换机内部使用的丢弃级别、流类别（TrafficClass，用来决定出口队列）进行标记，对不同颜色的数据包可以标记不同的数值。流量监管和整形拥塞避免

常用的拥塞避免的方法有RED(随机早期检测)，WRED（加权随机早期检测），显式拥塞通知（ECN），tail-drop(尾丢弃)等。59使用的交换芯片只支持tail-drop(尾丢弃)的丢弃方案进行拥塞避免。拥塞避免

Tail-drop（尾丢弃）：当队列长度超过某个阈值时，就开始丢弃对应的报文，直到队列长度又回到阈值以内为止，这是一种比较简单的拥塞避免方法。

队列调度

59的队列调度机制支持严格优先级（SP）和加权轮循（WRR）两种方式。队列调度1．严格优先级(StrictPriority，SP)

SP队列调度算法，是针对关键业务型应用设计的。SP严格按照优先级从高到低的次序优先发送较高优先级队列中的分组，当较高优先级队列为空时，再发送较低优先级队列中的分组。2．加权轮循(WeightedRoundRobin，WRR)WRR队列调度算法在队列之间进行轮流调度，保证每个队列都得到一定的服务时间。它的比例是以报文的数目来计算的。队列调度流镜像&重定向

流镜像将匹配指定规则的数据包复制到目的监控端口或CPU，一般再进行网络检测和故障排除使用。重定向将匹配指定规则的数据包转发到某一个指定的端口或者下一条（策略路由），而不按照原来的流程转发。流量统计

实现基于流的流量统计，对匹配某一原则的数据包个数或字节数进行统计，提供用户对“感兴趣”的报文做统计、分析的工具。单速率流量监管测试用例：ZXR10(config)#traffic-limitin200rule-id1cir10000cbs10000ebs10000modeaware说明：ACL200上规则1的流量进行流限速，限速为10M。使用的算法为单速率3色标记。相关参数注释：cir：承诺平均速率cbs：承诺突发尺寸ebs：最大突发尺寸aware：包进来有颜色，根据以前的和计算后应打的得到最终颜色。ZXR10(config)#traffic-limitin200rule-id1cir10000cbs10000ebs10000modeblind说明：ACL200上规则1的流量进行流限速，限速为10M。使用的算法为单速率3色标记。相关参数注释：blind：进来有颜色，但是只根据计算得到的打颜色。

双速率流量监管测试用例：ZXR10(config)#traffic-limitin200rule-id1cir10000cbs10000pir10000pbs10000modeaware说明：ACL200上规则1的流量进行流限速，限速为10M。同时进行remark操作，使用的算法为双速率3色标记。相关参数注释：pir：峰值速率pbs：峰值突发尺寸流量监管对着色的包进行处理：ZXR10(config)#traffic-limitin200rule-id1cir10000cbs10000pir10000pbs10000modeaware？drop-yellowDropyellowpacket丢弃着色为黄色的包forward-redForwardredpacket转发着色为红色的包remark-red-dpRemarkreddropprecedence标记红色包的丢弃优先级remark-red-dscpRemarkredDSCPvalue标记红色包的DSCP值remark-yellow-dpRemarkyellowdropprecedence标记黄色包的丢弃优先级remark-yellow-dscpRemarkyellowDSCPvalue标记黄色包的DSCP值<cr>说明：配置流限速，并对着色的包进行各项操作。优先级标记方式1：ZXR10(config)#priority-markin200ru1?cosCosvaluedrop-precedenceDropprecedencedscpDscpvalue(notforipv6)local-precedenceLocalprecedenceprecedencePrecedencevalue(notforipv6)说明：将ACL200上规则1的包分别标记cos值、drop-precedence、dscp、local-precedence和precedence值。方式2：ZXR10(config-if)#priority?<0-7>Thepriorityvalue(cosvalue)说明：在入端口上对untag包配置COS值。优先级映射ZXR10(config)#qos?conform-dscpConfigureqosconformleveldscpparameters(notforipv6)cos-drop-mapConfigurecosdropmapparameterscos-local-mapConfigurecoslocalmapparametersZXR10(config)#qosconform-dscp06102说明：配置优先级映射表，如收到包dscp值为0，修改dscp为61，cos值为0，丢弃优先级为2（high）ZXR10(config)#qoscos-drop-map00000000说明：配置cos丢弃优先级映射表，设置cos值为0－7的丢弃优先级全为0。ZXR10(config)#qoscos-local-map01234567说明：配置cos的本地优先级映射表，设置cos值为0－7的本地优先级（出口队列）依次为0－7。ZXR10(config-if)#trust-dscpenable说明：将所配置的映射表应用到端口上流量整形ZXR10(config-if)#traffic-shaperate-limit10000bucket-size10000out说明：将物理端口的出方向流量进行整形，设置出口带宽为10M。

流重定向ZXR10(config)#redirectin200ru1?