1.1 ACL(Access Control List,访问控制列表)是一或多条规则的集合,用于识别报文流。这里的规则是指描述报文匹配条件的判断语句,匹配条件可以是报文的源地址、目的地址、端口号等。网络设备依照这些规则识别出特定的报文,并根据预先设定的策略对其进行处理。
1.2 ACL分类
1.3 ACL匹配顺序
当一个 ACL 中包含多条规则时,报文会按照一定的顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。ACL 的规则匹配顺序有以下两种:
• • 配置顺序:按照规则编号由小到大进行匹配。
• • 自动排序:按照“深度优先”原则由深到浅进行匹配,由详细到宽泛
1.4 ACL配置
基本ACL
acl number 2000
rule deny|permit source {source-address source-wildcard| any}
高级ACL
acl number 3000
rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.100 0
2.1 QoS简介
QoS 即服务质量。对于网络业务,影响服务质量的因素包括传输的带宽、传送的时延、数据的丢包率等。在网络中可以通过保证传输的带宽、降低传送的时延、降低数据的丢包率以及时延抖动等措施来提高服务质量。
网络资源总是有限的,只要存在抢夺网络资源的情况,就会出现服务质量的要求。服务质量是相对网络业务而言的,在保证某类业务的服务质量的同时,可能就是在损害其它业务的服务质量。例如,在网络总带宽固定的情况下,如果某类业务占用的带宽越多,那么其他业务能使用的带宽就越少,可能会影响其他业务的使用。因此,网络管理者需要根据各种业务的特点来对网络资源进行合理的规划和分配,从而使网络资源得到高效利用。
2.2 QoS技术综述
QoS 技术包括流分类、流量监管、流量整形、接口限速、拥塞管理、拥塞避免等。
• • 流分类:采用一定的规则识别符合某类特征的报文,它是对网络业务进行区分服务的前提和基础。
• • 流量监管:对进入或流出设备的特定流量进行监管,以保护网络资源不受损害。可以作用在接口入方向和出方向。
• • 流量整形:一种主动调整流的输出速率的流量控制措施,用来使流量适配下游设备可供给的网络资源,避免不必要的报文丢弃,通常作用在接口出方向。
• • 拥塞管理:当拥塞发生时制定一个资源的调度策略,决定报文转发的处理次序,通常作用在接口出方向。
• • 拥塞避免:监督网络资源的使用情况,当发现拥塞有加剧的趋势时采取主动丢弃报文的策略,通过调整队列长度来解除网络的过载,通常作用在接口出方向。
2.3 QoS策略配置方式
QoS 策略包含了三个要素:类、流行为、策略。用户可以通过 QoS 策略将指定的类和流行为绑定起来,灵活地进行 QoS 配置。
(1) 类
类的要素包括:类的名称和类的规则。
用户可以通过命令定义一系列的规则来对报文进行分类。
traffic classifier classifier-name
if-match match-criteria
(2) 流行为
流行为用来定义针对报文所做的 QoS 动作。
流行为的要素包括:流行为的名称和流行为中定义的动作。
用户可以通过命令在一个流行为中定义多个动作。
traffic behavior behavior-name
(3) 策略
策略用来将指定的类和流行为绑定起来,对符合分类条件的报文执行流行为中定义的动作。策略的要素包括:策略名称、绑定在一起的类和流行为的名称。用户可以在一个策略中定义多个类与流行为的绑定关系。
qos policy policy-name
classifier classifier-name behavior behavior-name
QoS 策略支持以下应用方式:
• • 基于接口应用 QoS 策略:QoS 策略对通过接口接收或发送的流量生效。
interface g1/0/1
qos apply policy policy-name {inbound|outbound}
• • 基于VLAN应用QoS策略:QoS策略对通过同一个VLAN内所有接口接收或发送的流量生效。
qos vlan-policy policy-name vlan vlan-id-list {inbound|outbound}
• • 基于全局应用 QoS 策略:QoS 策略对所有流量生效。
qos apply policy policy-name global {inbound|outbound}
• • 基于控制平面应用 QoS 策略:QoS 策略对通过控制平面接收的流量生效。
• • 基于上线用户应用 QoS 策略:QoS 策略对通过上线用户接收或发送的流量生效。
user-profile profile-name
qos apply policy policy-name {inbound|outbound}
2.4优先级映射
文在进入设备以后,设备会根据映射规则分配或修改报文的各种优先级的值,为队列调度和拥塞控制服务。
优先级映射功能通过报文所携带的优先级字段来映射其他优先级字段值,就可以获得决定报文调度能力的各种优先级字段,从而为全面有效的控制报文的转发调度等级提供依据。
优先级用于标识报文传输的优先程度,可以分为两类:报文携带优先级和设备调度优先级。报文携带优先级包括:802.1p优先级、DSCP优先级、IP优先级、EXP优先级等。这些优先级都是根据公认的标准和协议生成,体现了报文自身的优先等级。
2.5流量监管、流量整形和接口限速简介
如果不限制用户发送的流量,那么大量用户不断突发的数据只会使网络更拥挤。为了使有限的网络资源能够更好地发挥效用,更好地为更多的用户服务,必须对用户的流量加以限制。比如限制每个时间间隔某个流只能得到承诺分配给它的那部分资源,防止由于过分突发所引发的网络拥塞。流量监管、流量整形和接口限速可以实现流量的速率限制功能,而要实现此功能就必须对通过设备的流量进行度量。一般采用令牌桶(Token Bucket)对流量进行度量。
流量监管就是对流量进行控制,通过监督进入网络的流量速率,对超出部分的流量进行“惩罚”,使进入的流量被限制在一个合理的范围之内,以保护网络资源和运营商的利益。例如可以限制 HTTP报文不能占用超过 50%的网络带宽。如果发现某个连接的流量超标,流量监管可以选择丢弃报文,或重新配置报文的优先级。
流量整形是一种主动调整流量输出速率的措施。一个典型应用是基于下游网络节点的流量监管指标来控制本地流量的输出。
流量整形与流量监管的主要区别在于:
• • 流量整形对流量监管中需要丢弃的报文进行缓存——通常是将它们放入缓冲区或队列内,当令牌桶有足够的令牌时,再均匀的向外发送这些被缓存的报文。
• • 流量整形可能会增加延迟,而流量监管几乎不引入额外的延迟。
利用接口限速可以在一个物理接口上限制发送报文(包括紧急报文)的总速率。
接口限速也是采用令牌桶进行流量控制。如果在设备的某个接口上配置了接口限速,所有经由该接口发送的报文首先要经过接口限速的令牌桶进行处理。如果令牌桶中有足够的令牌,则报文可以发送;否则,报文将进入 QoS 队列进行拥塞管理。这样,就可以对通过该物理接口的报文流量进行控制。
interface g1/0/1
qos lr {inbound | outbound} cir committed-information-rate //配置接口限速
配置举例:
配置需求
• • 设备 Router A 通过接口 GigabitEthernet3/0/3 和设备 Router B 的接口 GigabitEthernet3/0/1互连
• • Server、Host A、Host B 可经由 Router A 和 Router B 访问 Internet
要求在设备 Router A 上对接口 GigabitEthernet3/0/1 接收到的源自 Server 和 Host A 的报文流分别实施流量控制如下:
• • 来自 Server 的报文流量约束为 102400kbps,流量小于 102400kbps 时可以正常发送,流量超过 102400kbps 时则将违规报文的 DSCP 优先级设置为 0 后进行发送;
• • 来自 Host A 的报文流量约束为 25600kbps,流量小于 25600kbps 时可以正常发送,流量超过25600kbps 时则丢弃违规报文;
对设备 Router B 的 GigabitEthernet3/0/1 和 GigabitEthernet3/0/2 接口收发报文有如下要求:
• • Router B 的 GigabitEthernet3/0/1 接口接收报文的总流量限制为 204800kbps,如果超过流量限制则将违规报文丢弃;
• • 经由 Router B 的 GigabitEthernet3/0/2 接口进入 Internet 的 HTTP 报文流量限制为102400kbps,如果超过流量限制则将违规报文丢弃。
配置设备Router A:
acl number 2001
rule permit source 1.1.1.1 0 //匹配Server的报文流
quit
acl number 2002
rule permit source 1.1.1.2 0 //匹配HostA的报文流
quit
traffic classifier server
if-match acl 2001
quit
traffic classifier host
if-match acl 2002
quit
traffic behavior server
car cir 102400 red remark-dscp-pass 0 //创建流行为 server,动作为流量监管,cir 为 102400kbps,对超出限制的报文(红色报文)将其DSCP 优先级设置为 0 后发送。
quit
traffic behavior host
car cir 25600 // 创建流行为 host,动作为流量监管,cir 为 25600kbps,由于默认对红色报文的处理方式就是丢弃,因此无需配置。
quit
qos policy car //创建QoS策略,命名为car
classifier server behavior server
classifier host behavior host
quit
interface g3/0/1
qos apply policy car inbound
配置设备Router B:
acl number 3001
rule permit tcp destination-port eq 80
quit
traffic classifier http
if-match acl 3001
quit
traffic classfier class
if-match any
quit
traffic behavior car_inbound
car cir 204800 //创建流行为 car_inbound,动作为流量监管,cir 为204800kbps。
traffic behavior car_inbound
car cir 102400 //创建流行为 car_outbound,动作为流量监管,cir 为102400kbps。
quit
qos policy car_inbound
classifier class behavior car_inbound
quit
qos policy car_outbound
classifier http behavior car_outbound
quit
interface g3/0/1
qos apply policy car_inbound inbound
quit
interface g3/0/2
qos apply policy car_outbound outbound
2.6 拥塞管理
所谓拥塞,是指当前供给资源相对于正常转发处理需要资源的不足,从而导致服务质量下降的一种现象。
对于拥塞管理,一般采用队列技术,使用一个队列算法对流量进行分类,之后用某种优先级别算法将这些流量发送出去。
(1)SP队列
SP队列是针对关键业务类型应用设计的。关键业务有一个重要的特点,即在拥塞发生时要求优先获
得服务以减小响应的延迟。以 图 5-2 为例,优先队列将端口的 8 个输出队列分成 8 类,依次为 7、
6、5、4、3、2、1、0 队列,它们的优先级依次降低。
在队列调度时,SP 严格按照优先级从高到低的次序优先发送较高优先级队列中的分组,当较高优先级队列为空时,再发送较低优先级队列中的分组。这样,将关键业务的分组放入较高优先级的队列,将非关键业务的分组放入较低优先级的队列,可以保证关键业务的分组被优先传送,非关键业务的分组在处理关键业务数据的空闲间隙被传送。
SP 的缺点是:拥塞发生时,如果较高优先级队列中长时间有分组存在,那么低优先级队列中的报文将一直得不到服务。
(2)WRR队列
WRR 队列在队列之间进行轮流调度,保证每个队列都得到一定的服务时间。以端口有 8 个输出队列为例,WRR 可为每个队列配置一个加权值(依次为 w7、w6、w5、w4、w3、w2、w1、w0),加权值表示获取资源的比重。如一个 100Mbps 的端口,配置它的 WRR 队列的加权值为 5、5、3、3、1、1、1、1(依次对应 w7、w6、w5、w4、w3、w2、w1、w0),这样可以保证最低优先级队
列至少获得 5Mbps 的带宽,解决了采用 SP 调度时低优先级队列中的报文可能长时间得不到服务的问题。
WRR 队列还有一个优点是,虽然多个队列的调度是轮询进行的,但对每个队列不是固定地分配服务时间片——如果某个队列为空,那么马上换到下一个队列调度,这样带宽资源可以得到充分的利用。
用户可以根据需要将所有队列全部采用 WRR 调度,也可以配置队列加入 SP 分组,采用严格优先级调度算法。调度时先调度 SP 组,然后调度 WRR 优先组。
(3)WFQ队列
WFQ 和 WRR 队列调度算法类似。在分组 WFQ 队列中,也可以配置队列加入 SP 分组,采用严格优先级调度算法。调度时先调度 SP 组,然后调度其他 WFQ 优先组。两者差异如下:WFQ 支持带宽保证,可以保证端口流量拥塞时能够获得的最小队列带宽。
(4)CBQ队列
CBQ 为用户提供了定义类的支持,为每个用户定义的类分配一个单独的 FIFO 预留队列,用来缓冲同一类的数据。在网络拥塞时,CBQ 对报文根据用户定义的类规则进行匹配,并使其进入相应的队列,在入队列之前必须进行拥塞避免机制和带宽限制的检查。在报文出队列时,加权公平调度每个类对应的队列中的报文。
CBQ 包括以下队列:
• • LLQ 队列:即 EF 队列,为实时业务报文提供严格优先发送服务。在使用 LLQ 时将会为每个优先类指定可用最大带宽,该带宽值用于拥塞发生时监管流量。如果拥塞未发生,优先类允许使用超过分配的带宽。如果拥塞发生,优先类超过分配带宽的数据包将被丢弃。LLQ 还可以指定 Burst-size。
• • BQ 队列:即 AF 队列。为 AF 业务提供严格、精确的带宽保证,并且保证各类 AF 业务之间按一定的比例关系进行队列调度。
• • 加权公平调度队列:一个 WFQ 队列,用来支撑 BE 业务,使用接口剩余带宽进行发送。系统在为报文匹配规则时,规则如下:
• • 不同类之间按照 C-B 对的配置顺序逐一匹配,先配置先生效。
• • 同一个类内的多个规则也是按照配置顺序逐一匹配,先配置先生效。
配置命令:
interface g1/0/1
qos sp //缺省采用sp队列算法
interface g1/0/1
qos wrr weight //配置使用WRR队列算法
qos wrr queue-id group {1|2|3|4} weight schedule-value //配置WRR队列参数
interfa g1/0/1
qos wfq weight //配置使用WFQ队列算法
qos wfq queue-id weight schedule-value //配置分组WFQ队列的参数
qos bandwidth queue queue-id min bandwidth-vlue //配置最小保证带宽值
2.7 配置队列调度策略
配置队列调度策略时,用户首先要创建一个队列调度策略,然后进入队列调度策略视图进行队列调度参数的相关配置,最后将队列调度策略应用到接口。
队列调度策略中队列的调度参数支持动态修改,从而方便修改已经应用的队列调度策略。
(1)基于类的队列的配置
基于类的队列 CBQ 的配置步骤如下:
定义类
traffic classifier classifier-name
if-match match-criteria
定义流行为
traffic behavior behavior-name
queue af bandwidth bandwidth //配置确保转发的流量保证宽带
定义策略
qos policy policy-name
classifier classifier-name behavior behavior-name
interface g0/0/1
qos apply policy policy-name {inbound|outbound}
配置举例:
组网需求
在下面的组网图中,从 Router C 发出的数据流经过 Router A 和 Router B 到达 Router D,需求如下:
• • Router C 发出的数据流根据 IP 报文的 DSCP 域分为 3 类,要求配置 QoS 策略,对于 DSCP域为 AF11 和 AF21 的流进行确保转发(AF),保证带宽为 5M;
• • 对于 DSCP 域为 EF 的流进行加速转发(EF),保证带宽为 30M。
在进行配置之前,应保证:
• • Router C 发出的流能够通过 Router A 和 Router B 可达 Router D。
• • 报文的 DSCP 域在进入 Router A 之前已经设置完毕。
Router A上的配置:
traffic classifier ef_class
if-match dscp ef
quit
traffic classifier af11_class
if-match dscp af11
quit
traffic classifier af21_class
if-match dscp af21
quit
acl number 3000
rule permit ip
quit
traffic classifier be_class
if-match acl 3000
quit
traffic behavior ef_behav
queue ef bandwidth 3000 //配置EF,设置加速转发的流量带宽
quit
traffic behavior af11_behav
queue af bandwidth 5000
quit
traffic behavior af21_behav
queue af bandwidth 5000
quit
traffic behavior be_behav
queue wfq
quit
qos policy dscp
classifier ef_class behavior ef_behav
classifier af11_class behavior af11_behav
classifier af21_class behavior af21_behav
classifier be_class behavior be_behav
interface g3/1/1
qos apply policy dscp outbound
display qos policy interface g3/1/1 outbound