本章节下载(485.58 KB)
& 说明:
A型业务板指如下业务板:LS81FT48A、LS81FM24A、LS81FS24A、LS81GB8UA、LS81GT8UA、LS81FT48、LS81FM24、LS81FS24、LS81GB8U、LS81GT8U。
QoS(Quality of Service,服务质量)是各种存在服务供需关系的场合中普遍存在的概念,它评估服务方满足客户服务需求的能力。评估通常不是精确的评分,而是注重分析在什么条件下服务是好的,在什么情况下还存在着不足,以便有针对性地作出改进。
在因特网中,QoS所评估的就是网络投递分组的服务能力。由于网络提供的服务是多样的,因此对QoS的评估可以基于不同方面。通常所说的QoS,是对分组投递过程中为延迟、延迟抖动、丢包率等核心需求提供支持的服务能力的评估。
流即业务流(traffic),指所有通过交换机的报文。
流分类(traffic classification)是指采用一定的规则识别出符合某类特征的报文。
分类规则(classification rule)是用户根据管理需求配置的过滤规则。分类规则可以很简单,比如可根据IP报文头的TOS字段,识别出有不同优先级特征的流量;也可以很复杂,如综合链路层(layer 2)、网络层(layer 3)、传输层(layer 4)信息诸如MAC地址、IP协议、源地址、目的地址、应用程序的端口号等相关信息来对报文进行分类。
一般的分类依据都局限在报文的头部信息中,使用报文的内容作为分类的标准比较少见。
(1) IP优先级、TOS优先级和DSCP优先级
图1-1 DS域和TOS字节
IP header的TOS字段有8个bit,其中:
l 前3个bit表示的就是IP优先级,取值范围为0~7;
l 第3~6这4个bit表示的是TOS优先级,取值范围为0~15;
l RFC2474重新定义了IP报文头部的TOS域,称之为DS域,其中DSCP优先级用该域的前6bit(0-5bit)表示,取值范围为0~63。DSCP的前3bit用作类选择符,4~5bit表示丢弃优先级,第6bit设置为0,以表示该设备是以DS模型设置的服务类别;
l 后2bit(6、7bit)是保留位。
IP报文的优先级可以表示8种不同的服务等级。
|
IP Precedence(十进制) |
IP Precedence(二进制) |
含义 |
|
0 |
000 |
routine |
|
1 |
001 |
priority |
|
2 |
010 |
immediate |
|
3 |
011 |
flash |
|
4 |
100 |
flash-override |
|
5 |
101 |
critical |
|
6 |
110 |
internet |
|
7 |
111 |
network |
Diff-Serv网络定义了四类流量:
l 加速转发(Expedited Forwarding,EF)类,这种方式不用考虑其他流量是否分享其链路,适用于低时延、低丢失、低抖动、确保带宽的优先业务(如虚租用线路);
l 确保转发(Assured Forwarding ,AF)类,又分为四个小类(AF1/2/3/4),每个AF小类又分为三个丢弃优先级,可以细分AF业务的等级,AF类的QoS等级低于EF类;
l 兼容IP优先级的类(Class selector,CS),是从IP TOS字段演变而来的,共8类;
l 尽力转发(Best Effort,BE)类,是CS中特殊一类,没有任何保证,AF类超限后可以降级为BE类,现有IP网络流量也都默认为此类。
表1-2 DSCP值说明
|
关键字 |
DSCP值(十进制) |
DSCP值(二进制) |
|
ef |
46 |
101110 |
|
af11 |
10 |
001010 |
|
af12 |
12 |
001100 |
|
af13 |
14 |
001110 |
|
af21 |
18 |
010010 |
|
af22 |
20 |
010100 |
|
af23 |
22` |
010110 |
|
af31 |
26 |
011010 |
|
af32 |
28 |
011100 |
|
af33 |
30 |
011110 |
|
af41 |
34 |
100010 |
|
af42 |
36 |
100100 |
|
af43 |
38 |
100110 |
|
cs1 |
8 |
001000 |
|
cs2 |
16 |
010000 |
|
cs3 |
24 |
011000 |
|
cs4 |
32 |
100000 |
|
cs5 |
40 |
101000 |
|
cs6 |
48 |
110000 |
|
cs7 |
56 |
111000 |
|
default(be) |
0 |
000000 |
(2) 802.1p优先级
802.1p优先级位于二层报文头部,适用于不需要分析三层报头,而需要在二层环境下保证QoS的场合。
图1-2 带有802.1Q标签头的以太网帧
如上图所示,每一个支持802.1Q协议的主机,在发送数据包时,都在原来的以太网帧头中的源地址后增加了一个4字节的802.1Q标签头。
这4个字节的802.1Q标签头包含了2个字节的标签协议标识(TPID--Tag Protocol Identifier,它的值是8100),和2个字节的标签控制信息(TCI--Tag Control Information),TPID是IEEE定义的新的类型,表明这是一个加了802.1Q标签的报文,图1-3显示了802.1Q标签头的详细内容。
图1-3 802.1Q标签头
在上图中,TCI字节中Priority字段就是802.1p优先级,它由3个bit组成,取值范围为0~7。这3位指明帧的优先级。一共有8种优先级,主要用于当交换机阻塞时,优先发送哪个数据包。
表1-3 802.1p优先级说明
|
CoS(十进制) |
CoS(二进制) |
含义 |
|
0 |
000 |
best-effort |
|
1 |
001 |
background |
|
2 |
010 |
spare |
|
3 |
011 |
excellent-effort |
|
4 |
100 |
controlled-load |
|
5 |
101 |
video |
|
6 |
110 |
voice |
|
7 |
111 |
network-management |
之所以称此优先级为802.1p优先级,是因为有关这些优先级的应用是在802.1p规范中被详细定义。
本地优先级是交换机端口的输出队列的优先级,取值为0~7,和端口的输出队列一一对应。
协议报文自身携带有报文的优先级。用户可以通过设置协议报文优先级,来改变协议报文的优先级,然后和相应的QoS动作配合,对协议报文进行相应的QoS处理。
优先级重标记功能通过引用ACL进行流识别,为匹配的报文重新指定优先级。
包过滤就是将业务流进行过滤操作。例如丢弃操作,该操作将匹配流分类规则的业务流丢弃,而允许其他所有流量通过。以太网交换机采用了复杂的流分类规则,这样可以针对业务流的各种信息进行过滤,丢弃那些无用的、不可靠、值得怀疑的业务流,从而增强了网络的安全性。
实现包过滤,有两个关键的环节:
第一步:是对进入端口的流量按既定的规则进行流分类;
第二步:对区分出来的流进行过滤——丢弃操作。
在端口上应用ACL可以实现包过滤的功能,具体配置请参见ACL模块中的描述。
端口限速就是基于端口的速率限制,它对端口输出报文的总速率进行限制。
如果不限制用户发送的流量,那么大量用户不断突发的数据只会使网络更拥挤。为了使有限的网络资源能够更好地发挥效用,更好地为更多的用户服务,必须对用户的流量加以限制。比如限制每个时间间隔某个流只能得到承诺分配给它的那部分资源,防止由于过分突发所引发的网络拥塞。
流量监管就是一种通过对流量规格的监督,来限制流量及其资源使用的流控策略。进行流量监管有一个前提条件,就是要知道流量是否超出了规格,然后才能根据评估结果实施调控策略。一般采用令牌桶(Token Bucket)对流量的规格进行评估。
令牌桶可以看作是一个存放令牌的容器,它有一定的容量。系统按设定的速度向桶中放置令牌,当桶中令牌满时,多出的令牌溢出,桶中令牌不再增加。
(1) 用令牌桶评估流量
在用令牌桶评估流量规格时,是以令牌桶中的令牌数量是否足够满足报文的转发为依据的。如果桶中存在足够的令牌可以用来转发报文(通常用一个令牌关联一个比特的转发权限),称流量遵守或符合(conforming)这个规格,否则称为不符合或超标(excess)。
评估流量时令牌桶的参数设置包括:
l 平均速率:向桶中放置令牌的速率,即允许的流的平均速度。通常设置为CIR(Committed Information Rate,承诺信息速率)。
l 突发尺寸:令牌桶的容量,即每次突发所允许的最大的流量尺寸。通常设置为CBS(Committed Burst Size,承诺突发尺寸),设置的突发尺寸必须大于最大报文长度。
每到达一个报文就进行一次评估。每次评估,如果桶中有足够的令牌可供使用,则说明流量控制在允许的范围内,此时要从桶中取走与报文转发权限相当的令牌数量;否则说明已经耗费太多令牌,流量超标了。
(2) 复杂评估
为了评估更复杂的情况,实施更灵活的调控策略,可以设置两个令牌桶。例如TP(Traffic Policing,流量监管)中有四个参数:
l CIR
l CBS
l PIR(Peak Information Rate,突发信息速率)
l EBS(Excess Burst Size,超出突发尺寸)
它使用了两个令牌桶,每个桶投放令牌的速率分别为CIR、PIR,只是尺寸不同——分别为CBS和EBS(这两个桶简称C桶和E桶),代表所允许的不同突发级别。每次评估时,依据“C桶有足够的令牌”、“C桶令牌不足,但E桶足够”以及“C桶和E桶都没有足够的令牌”的情况,可以分别实施不同的流控策略。
流量监管的典型应用是监督进入网络的某一流量的规格,把它限制在一个合理的范围之内,或对超出的部分流量进行“惩罚”,以保护网络资源和运营商的利益。例如可以限制HTTP报文不能占用超过50%的网络带宽。如果发现某个连接的流量超标,流量监管可以选择丢弃报文,或重新设置报文的优先级。
流量监管广泛的用于监管进入因特网服务提供商ISP的网络流量。流量监管还包括对所监管流量的流分类服务,并依据不同的评估结果,实施预先设定好的监管动作。这些动作可以是:
l 转发:比如对评估结果为“符合”的报文继续正常转发的处理,也可以为Diff-Serv提供代为标记DSCP的服务再转发。
l 丢弃:比如对评估结果为“不符合”的报文进行丢弃。
l 改变优先级并转发:比如对评估结果为“部分符合”的报文,将之标记为其它的优先级后再进行转发。
l 进入下一级的监管:流量监管可以逐级堆叠,每级关注和监管更具体的目标。
用户可以基于自身QoS策略的需要,重新指定报文的转发端口。
当网络拥塞时,必须解决多个报文同时竞争使用资源的问题,通常采用队列调度加以解决。
下面介绍SP(Strict-Priority,严格优先级队列)和WRR(Weighted Round Robin,加权轮询优先级队列)。
(1) SP队列
图1-5 SP队列示意图
SP队列调度算法,是针对关键业务型应用设计的。关键业务有一个重要的特点,即在拥塞发生时要求优先获得服务以减小响应的延迟。以端口有8个输出队列为例,优先队列将端口的8个输出队列分成8类,依次为7、6、5、4、3、2、1、0队列,它们的优先级依次降低。
在队列调度时,SP严格按照优先级从高到低的次序优先发送较高优先级队列中的分组,当较高优先级队列为空时,再发送较低优先级队列中的分组。这样,将关键业务的分组放入较高优先级的队列,将非关键业务(如E-Mail)的分组放入较低优先级的队列,可以保证关键业务的分组被优先传送,非关键业务的分组在处理关键业务数据的空闲间隙被传送。
SP的缺点是:拥塞发生时,如果较高优先级队列中长时间有分组存在,那么低优先级队列中的报文就会由于得不到服务而“饿死”
(2) WRR队列
图1-6 WRR示意图
WRR队列调度算法在队列之间进行轮流调度,保证每个队列都得到一定的服务时间。以端口有8个优先级队列为例,WRR可为每个队列配置一个加权值(依次为w7、w6、w5、w4、w3、w2、w1、w0),加权值表示获取资源的比重。如一个100M的端口,配置它的WRR队列调度算法的加权值为50、50、30、30、10、10、10、10(依次对应w7、w6、w5、w4、w3、w2、w1、w0),这样可以保证最低优先级队列至少获得5Mbit/s带宽,避免了采用SP调度时低优先级队列中的报文可能长时间得不到服务的缺点。WRR队列还有一个优点是,虽然多个队列的调度是轮循进行的,但对每个队列不是固定地分配服务时间片——如果某个队列为空,那么马上换到下一个队列调度,这样带宽资源可以得到充分的利用。
基于流的流量统计功能是通过引用ACL进行流识别,对匹配的报文进行流量统计。它可以帮助用户针对感兴趣的报文作统计分析。
当拥塞达到一定程度时,交换机可以采用RED算法有选择地丢弃一些帧,一方面可以解除网络过度的拥塞,另一方面避免采用尾部丢弃算法(Tail-Drop)造成的TCP全局同步现象。
在RED类算法中,为每个队列都设定一对低限和高限值,并规定:
RED通过随机丢弃报文避免了TCP的全局同步现象——当某个TCP连接的报文被丢弃,开始减速发送的时候,其他的TCP连接仍然有较高的发送速度。这样,无论什么时候,总有TCP连接在进行较快的发送,提高了线路带宽的利用率。
表1-4 S7500系列交换机支持的QoS功能及相关命令
|
QoS |
规格 |
相关命令 |
|
优先级映射 |
只支持802.1p到本地队列的映射 |
qos cos-local-precedence-map |
|
端口优先级 |
支持 |
priority priority-level |
|
报文入队列时信任的优先级 |
支持 |
priority-trust |
|
流量监管 |
支持 |
traffic-limit |
|
优先级重标记 |
支持 |
traffic-priority |
|
重定向 |
支持 |
traffic-redirect |
|
队列调度 |
支持SP、RR、WRR |
queue-scheduler |
|
端口限速 |
支持 |
line-rate |
|
支持 |
traffic-bandwidth |
|
|
拥塞避免 |
RED操作 |
traffic-red |
|
流量统计 |
支持 |
traffic-statistic |
|
双向CAR |
支持 |
inboundcar { enable | disable } |
|
基于流的灵活QinQ |
支持 |
traffic-remark-vlanid inbound acl-rule [ system-index ] remark-vlan vlan-id |
如果接收的报文没有VLAN标记,交换机将采用报文接收端口的缺省VLAN给报文打上VLAN标记,此时报文的VLAN标记中的802.1p优先级将采用接收端口的端口优先级来赋值。此时用户可以配置端口的优先级。
如果接收的报文带有VLAN标记,则交换机不会进行这个操作。
l 确定需要进行配置端口优先级的端口
l 确定了指定端口的优先级取值
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
设置端口的优先级 |
priority priority-level |
可选 缺省情况下,端口优先级为0 |
l 设置Ethernet 2/0/1端口的优先级为7
配置步骤:
<H3C> system-view
[H3C] interface Ethernet2/0/1
[H3C-Ethernet2/0/1] undo priority
[H3C-Ethernet2/0/1] priority 7
当网络拥塞时,必须解决多个报文同时竞争使用资源的问题,通常采用队列调度解决。交换机的端口支持8个输出队列,队列之间有高低优先级之分,高优先级队列将优先发送。
交换机根据报文的DSCP优先级、IP优先级、802.1p优先级或本地优先级将其放入到相应的输出队列中。各个优先级和队列之间的映射关系分别如表1-6、表1-7、表1-8、表1-9所示。
表1-6 802.1p优先级和队列之间的缺省映射关系
|
802.1p优先级(CoS) |
队列 |
|
0 |
2 |
|
1 |
0 |
|
2 |
1 |
|
3 |
3 |
|
4 |
4 |
|
5 |
5 |
|
6 |
6 |
|
7 |
7 |
|
本地优先级 |
队列 |
|
0 |
0 |
|
1 |
1 |
|
2 |
2 |
|
3 |
3 |
|
4 |
4 |
|
5 |
5 |
|
6 |
6 |
|
7 |
7 |
表1-8 IP优先级和队列之间的映射关系
|
IP优先级 |
队列 |
|
0 |
0 |
|
1 |
1 |
|
2 |
2 |
|
3 |
3 |
|
4 |
4 |
|
5 |
5 |
|
6 |
6 |
|
7 |
7 |
表1-9 DSCP优先级和队列之间的映射关系
|
DSCP取值 |
名字(A型业务板) |
队列 |
|
0~7 |
be(0) |
0 |
|
8~15 |
cs1(8), af1(10) |
1 |
|
16~23 |
cs2(16), af2(18) |
2 |
|
24~31 |
cs3(24), af3(26) |
3 |
|
32~39 |
cs4(32), af4(34) |
4 |
|
40~47 |
cs5(40), ef(46) |
5 |
|
47~55 |
cs6(48) |
6 |
|
56~63 |
cs7(56) |
7 |
& 说明:
对于非A型业务板,如果用户使用priority-trust dscp或者priority-trust ip-precedence命令配置了报文进入输出队列时信任的优先级,交换机会根据DSCP/IP优先级与CoS优先级的对应关系,将报文的DSCP优先级或者IP优先级转换为CoS优先级,然后根据CoS优先级和队列的对应关系,将报文放入相应的队列进行调度:
l 根据DSCP优先级:DSCP优先级取值为0~7映射为CoS优先级2,DSCP优先级取值为8~15映射为CoS优先级0,DSCP优先级取值为16~23映射为CoS优先级1,DSCP优先级取值为24~31映射为CoS优先级3,DSCP优先级取值为32~39映射为CoS优先级4,DSCP优先级取值为40~47映射为CoS优先级5,DSCP优先级取值为48~55映射为CoS优先级6,DSCP优先级取值为56~63映射为CoS优先级7。
l 根据IP优先级:IP优先级取值为0映射为CoS优先级2,IP优先级取值为1映射为CoS优先级0,IP优先级取值为2映射为CoS优先级1,IP优先级取值为3映射为CoS优先级3,其余优先级的映射关系一一对应。
用户可以根据实际情况选择相应的报文优先级作为进入端口输出队列的依据。
确定了报文进入端口输出队列信任的优先级。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置报文进入输出队列时信任的优先级 |
priority-trust { dscp | ip-precedence | cos | local-precedence } |
必选 缺省情况下,交换机采用local-precedence优先级将报文置入输出队列 |
l 配置报文进入输出队列时信任DSCP优先级
配置步骤:
<H3C> system-view
[H3C] priority-trust dscp
用户可以改变802.1p优先级和本地优先级的映射关系,从而改变802.1p优先级和输出队列之间的映射关系。
了解802.1p优先级和本地优先级的映射关系、默认映射表。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置“COS —>Local-precedence”映射表 |
qos cos-local-precedence-map cos0-map-local-prec cos1-map-local-prec cos2-map-local-prec cos3-map-local-prec cos4-map-local-prec cos5-map-local-prec cos6-map-local-prec cos7-map-local-prec |
可选 |
|
显示映射表 |
display qos cos-local-precedence-map |
可选 display命令可以在任何视图下 |
l 配置802.1p和本地优先级映射为0->2、1->3、2->4、3->1、4->7、5->0、6->5、7->6
l 查看配置结果
配置步骤:
<H3C> system-view
[H3C] qos cos-local-precedence-map 2 3 4 1 7 0 5 6
[H3C] display qos cos-local-precedence-map
cos-local-precedence-map:
cos : 0 1 2 3 4 5 6 7
--------------------------------------------------------------------------
local-precedence : 2 3 4 1 7 0 5 6
实现优先级重标记的功能有如下方式:
l 利用流量监管实现,只能非A型板支持本功能。在配置流量监管时,对指定流量外的报文定义重新标记报文的DSCP优先级的动作。具体描述请参见1.7.2 流量监管配置过程。
l 通过traffic-priority命令来实现。请参见本小节后续的描述。
l 定义了进行流识别的ACL。关于定义ACL的描述请参见“ACL”模块
l 确定了对配置规则的报文重新标记的优先级类型和取值
l 确定需要进行本配置的端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
进入QoS视图 |
qos |
- |
|
引用ACL进行流识别,为匹配的报文重新指定优先级 |
traffic-priority { inbound | outbound } acl-rule [ system-index ] { { dscp dscp-value | ip-precedence pre-value } | local-precedence pre-value }* |
必选 A型业务板支持的命令形式 |
|
traffic-priority inbound acl-rule [ system-index ] { { dscp dscp-value | ip-precedence pre-value } | { cos cos | local-precedence pre-value } }* |
必选 非A型业务板支持的命令形式 |
|
|
显示优先级重标记的参数设置 |
display qos-interface [ interface-type interface-number ] traffic-priority |
可选 display命令可以在任意视图下执行 |
|
显示端口的所有QoS设置信息 |
display qos-interface [ interface-type interface-number ] all |
acl-rule:应用的ACL,可以是多种ACL的组合。A型业务板的组合方式如表1-13;非A型业务板的组合方式如表1-14。
表1-13 A型业务板的组合应用ACL方式
|
组合方式 |
acl-rule的形式 |
|
单独应用一个IP型ACL中所有规则 |
ip-group { acl-number | acl-name } |
|
单独应用一个IP型ACL中一条规则 |
ip-group { acl-number | acl-name } rule rule-id |
|
单独应用一个Link型ACL中所有规则 |
link-group { acl-number | acl-name } |
|
单独应用一个Link型ACL中一条规则 |
link-group { acl-number | acl-name } rule rule-id |
表1-14 非A型业务板的组合应用ACL方式
|
组合方式 |
acl-rule的形式 |
|
单独应用一个IP型ACL中所有规则 |
ip-group { acl-number | acl-name } |
|
单独应用一个IP型ACL中一条规则 |
ip-group { acl-number | acl-name } rule rule-id |
|
单独应用一个Link型ACL中所有规则 |
link-group { acl-number | acl-name } |
|
单独应用一个Link型ACL中一条规则 |
link-group { acl-number | acl-name } rule rule-id |
|
单独应用一个用户自定义ACL中所有规则 |
user-group { acl-number | acl-name } |
|
单独应用一个用户自定义ACL中一条规则 |
user-group { acl-number | acl-name } rule rule-id |
|
同时应用IP型ACL中一条规则和一个Link型ACL的一条规则 |
ip-group { acl-number | acl-name } rule rule-id link-group { acl-number | acl-name } rule rule-id |
& 说明:
优先级重标记配置仅对访问控制列表中动作为permit的规则有效。
l 交换机的Ethernet2/0/1接入了10.1.1.1/24网段
l 将来自10.1.1.1/24网段的流量的DSCP优先级重新标记为56
配置步骤:
<H3C> system-view
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 10.1.1.1 0.0.0.255
[H3C-acl-basic-2000] quit
[H3C] interface Ethernet2/0/1
[H3C-Ethernet2/0/1] qos
[H3C-qoss-Ethernet2/0/1] traffic-priority inbound ip-group 2000 dscp 56
l 确定了需要限速的端口
l 确定了限速速率
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
进入QoS视图 |
qos |
- |
|
基于端口的速率限制配置 |
line-rate [ kbps ] target-rate |
必选 |
& 说明:
只有非A型业务板支持端口限速配置。
l 在交换机的GigabitEthernet2/0/1口上设置流量限速
l 限定速率为10Mbps(10240Kbps)
配置步骤:
<H3C> system-view
[H3C] interface GigabitEthernet2/0/1
[H3C-GigabitEthernet2/0/1] qos
[H3C-qosb-GigabitEthernet2/0/1] line-rate 10
l 定义了进行流识别的ACL。关于定义ACL的描述请参见“ACL”模块
l 确定了流量监管限制的速率、对在指定流量内的报文采取的动作、对高于指定流量的报文采取的动作
l 确定需要进行本配置的端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
进入QoS视图 |
qos |
- |
|
基于流的流量监管配置 |
traffic-limit { inbound | outbound } acl-rule [ system-index ] target-rate |
必选 A型业务板支持的命令形式 |
|
traffic-limit inbound acl-rule [ system-index ] [ kbps ] target-rate [ exceed action ] |
必选 非A型业务板支持的命令形式 |
|
|
显示流量监管的参数设置 |
display qos-interface [ interface-type interface-number ] traffic-limit |
可选 display命令可以在任意视图下执行 |
|
显示端口的所有QoS设置信息 |
display qos-interface [ interface-type interface-number ] all |
acl-rule:应用的ACL,可以是多种ACL的组合。A型业务板的组合方式如表1-13;非A型业务板的组合方式如表1-14。
& 说明:
流量监管配置仅对访问控制列表中动作为permit的规则有效。
l 交换机的GigabitEthernet 2/0/1接入了10.1.1.1/24网段
l 对来自10.1.1.1/24网段的流量进行流量监管,流量监管的速率设置为128Kbps
l 对于指定流量之外的报文,重新标记报文的DSCP优先级为56后转发
配置步骤:
<H3C> system-view
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 10.1.1.1 0.0.0.255
[H3C-acl-basic-2000] quit
[H3C] interface GigabitEthernet2/0/1
[H3C-GigabitEthernet2/0/1] qos
[H3C-qosb-GigabitEthernet2/0/1] traffic-limit inbound ip-group 2000 kbps 128 exceed remark-dscp 56
l 定义了进行流识别的ACL。关于定义ACL的描述请参见ACL模块
l 确定了对报文重定向目的端口
l 确定需要进行本配置的端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
进入QoS视图 |
qos |
- |
|
重定向配置 |
traffic-redirect inbound acl-rule [ system-index ] { cpu | interface interface-type interface-number } |
必选 |
|
显示重定向的参数设置 |
display qos-interface [ interface-type interface-number ] traffic-redirect |
可选 display命令可以在任意视图下执行 |
|
显示端口的所有QoS设置信息 |
display qos-interface [ interface-type interface-number ] all |
acl-rule:下发的ACL,可以是多种ACL的组合。组合方式参见表1-14。
& 说明:
l 只有非A型业务板支持报文重定向配置。
l 配置重定向到端口时,源端口和目的端口必须位于同一业务板上。
l 重定向配置仅对访问控制列表中动作为permit的规则有效。
l 当报文被重定向到CPU后,将不再正常转发。
l 交换机的Ethernet2/0/1接入了10.1.1.1/24网段
l 将所有来自10.1.1.1/24网段的流量都重定向到Ethernet2/0/7
配置步骤:
<H3C> system-view
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 10.1.1.1 0.0.0.255
[H3C-acl-basic-2000] quit
[H3C] interface Ethernet2/0/1
[H3C-Ethernet2/0/1] qos
[H3C-qosb-Ethernet2/0/1] traffic-redirect inbound ip-group 2000 interface Ethernet 2/0/7
l 确定了队列调度的算法
l 确定需要进行本配置的端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
进入QoS视图 |
qos |
- |
|
配置队列调度模式 |
queue-scheduler { rr | strict-priority | wrr queue1-weight queue2-weight queue3-weight queue4-weight queue5-weight queue6-weight queue7-weight queue8-weight } |
必选 缺省情况下,采用严格优先调度模式 |
|
显示重定向的参数设置 |
display qos-interface [ interface-type interface-number ] queue-scheduler |
可选 display命令可以在任意视图下执行 |
|
显示端口的所有QoS设置信息 |
display qos-interface [ interface-type interface-number ] all |
& 说明:
只有非A型业务板支持队列调度模式配置。
l 设置队列调度模式为加权轮循调度,队列的权重分别为10、5、10、10、5、10、5、10
l 查看配置结果
配置步骤:
<H3C> system-view
[H3C] interface GigabitEthernet2/0/1
[H3C-GigabitEthernet2/0/1] qos
[H3C-qosb-GigabitEthernet2/0/1] queue-scheduler wrr 10 5 10 10 5 10 5 10
[H3C-qosb-GigabitEthernet2/0/1] display qos-interface GigabitEthernet 2/0/1 queue-scheduler
GigabitEthernet2/0/1:
Queue scheduling mode: weighted round robin
weight of queue 1: 10
weight of queue 2: 5
weight of queue 3: 10
weight of queue 4: 10
weight of queue 5: 5
weight of queue 6: 10
weight of queue 7: 5
weight of queue 8: 10
COS configuration:
Config (max queues): 8
Schedule mode: weighted round-robin
Weighting (in packets):
COSQ 0 = 10 packets
COSQ 1 = 5 packets
COSQ 2 = 10 packets
COSQ 3 = 10 packets
COSQ 4 = 5 packets
COSQ 5 = 10 packets
COSQ 6 = 5 packets
COSQ 7 = 10 packets
Egress port queue statistics(in bytes):
Priority CosQ Threshold Count Used(%):
0 2 18432 0 0
1 0 2560 0 0
2 1 2560 0 0
3 3 2560 0 0
4 4 2560 0 0
5 5 2560 0 0
6 6 2560 0 0
7 7 2560 0 0
common queue statistics(in bytes):
49152 0 0
当拥塞发生时,交换机会尽快的丢包释放队列资源,同时尽量不将报文放入高延迟的队列中,以消除拥塞。交换机采用RED算法进行拥塞避免。
l 确定了进行随机丢弃的队列索引、开始丢弃的队列长度,全部丢弃的队列长度及丢弃概率
l 确定需要进行本配置的端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
进入QoS视图 |
qos |
- |
|
设置RED参数 |
traffic-red outbound acl-rule [ system-index ] qstart qstop probability |
必选 配置的最大可使用带宽不能小于最小保证带宽 |
|
显示RED参数信息 |
display qos-interface [ interface-type interface-number ] traffic-red |
可选 display命令可以在任意视图下执行 |
|
显示端口的所有QoS设置信息 |
display qos-interface [ interface-type interface-number ] all |
acl-rule:下发的ACL,可以是多种ACL的组合。组合方式参见表1-13。
& 说明:
l 只有A型业务板支持此命令。
l 只有动作为permit的规则才能被本命令成功引用,并下发到硬件。
l 交换机的Ethernet2/0/1接入了10.1.1.1/24网段
l 将所有来自10.1.1.1/24网段的流量行RED操作
l 参数设置如下:开始进行随机丢弃的队列长度64Kbytes,停止进行随机丢弃的队列长度为128Kbytes,随机丢弃的概率为20%
配置步骤:
<H3C> system-view
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 10.1.1.1 0.0.0.255
[H3C-acl-basic-2000] quit
[H3C] interface Ethernet2/0/1
[H3C-Ethernet2/0/1] qos
[H3C-qoss-Ethernet2/0/1] traffic-red outbound ip-group 2000 64 128 20
l 定义了进行流识别的ACL。关于定义ACL的描述请参见“ACL”模块
l 确定需要进行本配置的端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
进入QoS视图 |
qos |
- |
|
引用ACL进行流识别,对匹配的报文进行流量统计 |
traffic-statistic { inbound | outbound } acl-rule [ system-index ] |
必选 A型业务板支持的命令形式 |
|
traffic-statistic inbound acl-rule [ system-index ] |
必选 非A型业务板支持的命令形式 |
|
|
显示流量统计信息 |
display qos-interface [ interface-type interface-number ] traffic-statistic |
可选 display命令可以在任意视图下执行 |
|
显示端口的所有QoS设置信息 |
display qos-interface [ interface-type interface-number ] all |
acl-rule:应用的ACL,可以是多种ACL的组合。A型业务板的组合方式如表1-13;非A型业务板的组合方式如表1-14。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
进入QoS视图 |
qos |
- |
|
清除匹配指定规则的流量统计的统计信息 |
reset traffic-statistic { inbound | outbound } acl-rule [ system-index ] |
必选 A型业务板支持的命令形式 |
|
reset traffic-statistic inbound acl-rule [ system-index ] |
必选 非A型业务板支持的命令形式 |
acl-rule:应用的ACL,可以是多种ACL的组合。A型业务板的组合方式如表1-13;非A型业务板的组合方式如表1-14。
l 交换机的Ethernet2/0/1接入了10.1.1.1/24网段
l 对来自10.1.1.1/24网段的流量进行流量统计
配置步骤:
<H3C> system-view
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 10.1.1.1 0.0.0.255
[H3C-acl-basic-2000] quit
[H3C-Ethernet2/0/1] qos
[H3C-qoss-Ethernet2/0/1] traffic-statistic inbound ip-group 2000
带宽保证功能就是为对特定的流提供了最小带宽保证和最大可使用带宽,使其得到相应的服务。
l 定义了进行流识别的ACL。关于定义ACL的描述请参见“ACL”模块
l 确定了带宽保证的相应参数
l 确定需要进行本配置的端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
进入QoS视图 |
qos |
- |
|
启动ACL识别流,并对相应的流提供带宽保证 |
traffic-bandwidth outbound acl-rule [ system-index ] min-guaranteed-bandwidth max-guaranteed-bandwidth weight |
必选 配置的最大可使用带宽不能小于最小保证带宽 |
|
显示流量统计信息 |
display qos-interface [ interface-type interface-number ] traffic-bandwidth |
可选 display命令可以在任意视图下执行 |
|
显示端口的所有QoS设置信息 |
display qos-interface [ interface-type interface-number ] all |
acl-rule:下发的ACL,可以是多种ACL的组合。组合方式参见表1-13。
& 说明:
l 只有A型业务板支持此命令。
l 只有动作为permit的规则才能被本命令成功引用,并下发到硬件。
l 交换机的Ethernet2/0/1接入了10.1.1.1/24网段
l 将所有来自10.1.1.1/24网段的流量提供带宽保证
l 参数设置如下:最小保证带宽为64Kbps,最大可使用带宽为128Kbps,带宽权重为50
配置步骤:
<H3C> system-view
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 10.1.1.1 0.0.0.255
[H3C-acl-basic-2000] quit
[H3C] interface Ethernet2/0/1
[H3C-Ethernet2/0/1] qos
[H3C-qoss-Ethernet2/0/1] traffic-bandwidth outbound ip-group 2000 64 128 50
用户可以开启或关闭双向CAR功能。
双向CAR开启的情况下,相同ACL规则下发到不同的端口,交换机将其视为不同的规则,同一条规则在下发之后会占用多条表项。如果用户在多个端口上对匹配同一规则的流配置了CAR功能,每个端口都能够为接收的匹配CAR规则的流保证设定的带宽。
双向CAR关闭的情况下,相同ACL规则下发到不同的端口,交换机将其视为相同的规则,同一条规则在下发之后只占用一条表项。如果用户在多个端口上对匹配同一规则的流配置了CAR功能,交换机为这多个端口接收到的匹配CAR规则的流共同保证设定的带宽。
例如,用户要为交换机接收的匹配ACL rule 0的流设定2M的CAR带宽,使用traffic-limit命令将该CAR功能配置到2个端口上。双向CAR开关打开和关闭的情况如下。
l 如果双向CAR开启,则这两个端口分别为各自接收的匹配ACL rule 0的流保证2M的带宽。
l 如果双向CAR关闭,则这两个端口上接收到的匹配ACL rule 0的流总共得到2M带宽的保证。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启或关闭双向CAR功能 |
inboundcar { enable | disable } |
必选 缺省情况下,双向CAR处于关闭状态 |
& 说明:
此命令只对A型业务板生效,并且只有重启交换机后,配置结果才能生效。
l 开启双向CAR功能
配置步骤:
<H3C> system-view
[H3C] inboundcar enable
QinQ是将用户私网VLAN Tag封装在公网VLAN Tag中,使报文带着两层VLAN Tag穿越运营商的骨干网络(公网)。基于流的灵活QinQ能根据报文在入端口匹配的ACL规则来给报文打外层VLAN标签。
基于流的灵活QinQ通常配置在运营商网络与用户设备相连的边缘设备的Hybrid端口上。
l 定义了进行流识别的ACL。关于定义ACL的描述请参见“ACL”模块
l 确定了外层VLAN Tag的ID
l 确定需要进行本配置的端口
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建VLAN |
vlan vlan-id |
vlan-id是外层VLAN Tag的ID |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置端口类型为Hybrid |
port link-type hybrid |
- |
|
把Hybrid端口加入到指定的VLAN |
port hybrid vlan vlan-id { tagged | untagged } |
vlan-id是外层VLAN Tag的ID |
|
在端口视图下使能QinQ功能 |
vlan-vpn enable |
必选 |
|
进入QoS视图 |
qos |
- |
|
启动ACL识别流,并对匹配的报文打上外层VLAN TAG |
traffic-remark-vlanid inbound acl-rule [ system-index ] remark-vlan vlan-id |
必选 |
|
显示流量统计信息 |
display qos-interface [ interface-type interface-number ] traffic-remark-vlanid |
可选 display命令可以在任意视图下执行 |
|
显示端口的所有QoS设置信息 |
display qos-interface [ interface-type interface-number ] all |
acl-rule:应用的ACL,可以是多种ACL的组合。组合方式如表1-25。
|
组合方式 |
acl-rule的形式 |
|
单独应用一个IP型ACL中所有规则 |
ip-group { acl-number | acl-name } |
|
单独应用一个IP型ACL中一条规则 |
ip-group { acl-number | acl-name } rule rule-id |
|
单独应用一个Link型ACL中所有规则 |
link-group { acl-number | acl-name } |
|
单独应用一个Link型ACL中一条规则 |
link-group { acl-number | acl-name } rule rule-id |
|
同时应用IP型ACL中一条规则和一个Link型ACL的一条规则 |
ip-group { acl-number | acl-name } rule rule-id link-group { acl-number | acl-name } rule rule-id |
注意:
l A型业务板、LS82GT20和LS82GP20型业务板不支持基于流的灵活QinQ功能。
l 配置基于流的灵活QinQ功能前需要先在相应的端口视图下执行vlan-vpn enable命令。
l 如果某端口的Voice VLAN功能已经启动,则不允许用户开启该端口的QinQ特性。
l 交换机的Ethernet2/0/1接入了10.1.1.1/24网段
l 将所有来自10.1.1.1/24网段的流量打上外层VLAN TAG,实现基于流的灵活QinQ功能
配置步骤:
<H3C> system-view
[H3C] vlan 25
[H3C-vlan25] quit
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 10.1.1.1 0.0.0.255
[H3C-acl-basic-2000] quit
[H3C] interface Ethernet2/0/1
[H3C-Ethernet2/0/1] port link-type hybrid
[H3C-Ethernet2/0/1] port hybrid vlan 25 untagged
[H3C-Ethernet2/0/1] vlan-vpn enable
[H3C-Ethernet2/0/1] qos
[H3C-qosb-Ethernet2/0/1] traffic-remark-vlanid inbound ip-group 2000 remark-vlan 25
公司企业网通过以太网交换机的端口实现各部门之间的互连。财务部门的工资查询服务器由Ethernet2/0/1端口接入(IP地址129.110.1.2)。组网需求为限制工资服务器向外发送流量的平均速率不能超过640Kbps,超出规格的报文将报文优先级为4。
图1-7 QoS配置举例
& 说明:
以下的配置,只列出了与QoS/ACL配置相关的命令。
(1) 定义工资服务器向外发送的流量
# 进入3000号的高级访问控制列表视图。
<H3C> system-view
[H3C] acl number 3000
# 定义3000号高级访问控制列表的规则。
[H3C-acl-adv-3000] rule 1 permit ip source 129.110.1.2 0 destination any
[H3C-acl-adv-3000] quit
(2) 对工资服务器对外发送的流量进行流量限制
# 限制工资服务器向外发送报文的平均速率为640Kbps,对超出规格的报文设置优先级为4。
[H3C] interface Ethernet2/0/1
[H3C-Ethernet2/0/1] qos
[H3C-qoss-Ethernet2/0/1] traffic-limit inbound ip-group 3000 640 exceed remark-dscp 4
对PC1(IP地址为1.0.0.1)每天8:00~18:00发出的报文打上ef标记,为上层设备提供优先级依据。
图1-8 QoS配置举例
(1) 定义8:00~18:00时间段
# 定义时间段。
<H3C> system-view
[H3C] time-range test 8:00 to 18:00 daily
(2) 定义PC报文的流规则。
# 进入基于数字标识的基本访问控制列表视图。
[H3C] acl number 2000
[H3C-acl-basic-2000] rule 0 permit source 1.0.0.1 0 time-range test
[H3C-acl-basic-2000] quit
(3) 对PC1发出的报文重新打上ef优先级
[H3C] interface Ethernet2/0/1
[H3C-Ethernet2/0/1] qos
[H3C-qoss-Ethernet2/0/1] traffic-priority inbound ip-group 2000 dscp ef
