华为MA5600特性描述0111 ACLQoS.docx
- 文档编号:30133430
- 上传时间:2023-08-05
- 格式:DOCX
- 页数:10
- 大小:75.62KB
华为MA5600特性描述0111 ACLQoS.docx
《华为MA5600特性描述0111 ACLQoS.docx》由会员分享,可在线阅读,更多相关《华为MA5600特性描述0111 ACLQoS.docx(10页珍藏版)》请在冰豆网上搜索。
华为MA5600特性描述0111ACLQoS
目录
11ACL&QoS11-1
11.1概述11-2
11.2ACL11-2
11.2.1定义11-2
11.2.2遵循的协议11-2
11.2.3和其他特性的关系11-2
11.2.4应用11-2
11.2.5原理11-2
11.2.6配置和验证11-5
11.3QoS11-5
11.3.1定义11-5
11.3.2遵循的协议11-5
11.3.3和其他特性的关系11-5
11.3.4应用11-5
11.3.5原理11-6
11.3.6配置和验证11-8
插图目录
图11-1DS域和ToS字节11-6
图11-2带有802.1q标签头的以太网帧11-6
图11-3802.1q标签头11-7
图11-4优先队列示意图11-7
表格目录
表11-1ACL分类列表11-3
11ACL&QoS
关于本章
本章描述内容如下表所示。
标题
内容
11.1概述
介绍MA5600支持ACL、QoS特性。
11.2ACL
介绍MA5600实现的ACL特性。
11.3QoS
介绍MA5600实现的QoS特性。
11.1概述
MA5600支持基于流规则分类、统计、调度策略,提供高QoS保证。
MA5600支持的匹配规则包括基本ACL、高级ACL、针对链路层报文的ACL和用户自定义型的ACL,并且支持对匹配ACL的数据包和报文流进行过滤、流镜像、流量限制、优先级标记、重定向和流量统计功能。
11.2ACL
11.2.1定义
访问控制列表ACL(AccessControlList)通过配置的一系列匹配规则对特定的数据包进行过滤,从而识别需要过滤的对象。
在识别出特定的对象之后,根据预先设定的策略允许或禁止相应的数据包通过。
ACL过滤报文流过程是在为进行QoS处理做准备。
11.2.2遵循的协议
无。
11.2.3和其他特性的关系
ACL和QoS密切相关。
●通过ACL的流规则把符合某种特征的业务流过滤出来,而过滤报文流其实是在为进行QoS处理做准备。
●QoS是对ACL过滤出来的报文流按照用户需要,进行流量限制、优先级标记设置及队列调度、重定向、流量统计等处理。
●ACL流规则一般情况如果没有被QoS动作引用,就只是停留在表面的规则,没有任何实质性的作用。
所以可以这么说:
ACL是为QoS做准备,QoS把ACL功能实质化。
11.2.4应用
MA5600支持多种ACL设置。
11.2.5原理
ACL分类
ACL分类如表11-1所示。
表11-1ACL分类列表
项目
数字取值范围
特点
基本ACL
2000~2999
只能根据三层源IP地址制定规则,对数据包进行相应的分析处理。
高级ACL
3000~3999
可以根据数据包的源地址信息、目的地址信息、IP承载的协议类型、针对协议的特性,例如TCP的源端口、目的端口,ICMP协议的类型、code等内容定义规则。
利用高级ACL定义比基本ACL更准确、更丰富、更灵活的规则。
链路层ACL
4000~4999
可以根据源MAC地址、源VLANID、二层协议类型、目的MAC地址等链路层信息制定规则,对数据进行相应处理。
用户自定义ACL
5000~5999
可以根据二层数据帧的前80个字节中的任意32字节进行匹配,对数据报文作出相应的处理。
匹配顺序和配置顺序的区别
流规则的配置顺序是按照用户定义ACL流规则的先后顺序分配规则ID。
在默认情况下,用户定义的第一条流规则ID为5,第二条ID为10,第三条ID为15,……,以次类推。
这个为配置顺序。
而当一条报文流到达设备,与两条以上的流规则相匹配。
那么,这条报文流该按照哪条流规则来进行处理呢?
这就是匹配顺序需要解决的问题。
匹配顺序还分为组内匹配顺序和组间匹配顺序。
组内匹配顺序
●同一条ACL内的子规则,如果同时激活,默认后配置的规则较先配置的规则具有更高的执行优先级。
●但是如果是逐条流规则单独激活,则后激活的规则较先激活的规则具有更高的执行优先级。
例如:
首先配置一条禁止所有IP报文的规则A,然后再配置一条允许通过某个特定IP地址报文的规则B,并且同时激活。
那么对于这个特定IP地址的报文A和B两者的处理动作实际是冲突的。
但是由于B较A后配置,因此B最终胜出而获得执行。
那么A与B的组合结果就是禁止除了这个特定IP以外的所有IP报文。
组间匹配顺序
不同的ACL间下发的QoS动作,后激活的QoS动作较先激活的QoS动作具有更高的优先级。
例如:
ACL组A的配置是过滤所有IP报文,ACL组B的配置是允许通过某个特定IP地址报文。
对同一端口首先激活基于ACL组A的QoS动作A,再激活基于ACL组B的QoS动作B。
因为QoS动作B较QoS动作A后激活,所以最终的结果是过滤除了这个特定IP以外的所有IP报文。
如果反过来首先激活基于ACL组B的QoS动作B,再激活基于ACL组A的QoS动作A,那么最终的结果是过滤所有的IP报文。
默认匹配规则
前面关注的是报文流与多条流规则匹配时的匹配顺序,那么当报文流没有任何与之匹配的流规则时,就涉及到默认匹配的问题。
这里,系统对没有匹配的数据帧不进行任何处理,直接转发。
所以为了避免歧义和将来使用上的误会,建议在任何一条ACL的子规则里,首先定义一条普遍适用的规则,例如permitany或者denyany,使任何报文都至少有一条流规则与之匹配,就能确认没有特别标识的报文默认是转发还是过滤。
使用建议
为了更好的使用ACL,这里给出一些配置方法上的建议。
●多个QoS动作使用同一规则时,请连续激活这些QoS动作。
例如:
对基于ACL2001,ruleID为10的报文流同时执行流量统计动作和流量限制动作,那么请将这两个动作连续激活,中间不要穿插激活基于其他规则的QoS动作。
这是因为基于同一个规则的所有QoS动作共用同一硬件资源。
●多个QoS动作使用的规则具有相同的参数项、不同的参数值时,请连续激活这些规则的QoS动作。
这是因为参数项相同而参数值不同的规则,可以共用同一硬件资源。
例如:
ACL2000ruleID为10的配置参数是IP组,指定源IP为1.1.1.1的主机地址。
ACL2000ruleID为15的配置参数也是IP组,指定源IP为2.2.2.2的主机地址。
两者在命令行配置时使用到的参数项目完全一致,只是具体参数数值不同。
这种情况下,如果两个规则有各自关联的QoS动作,那么请连续激活这些QoS动作,中间不穿插激活基于其他规则的QoS动作。
●不同ACL组之间如果定义了参数项相同而参数值不同的规则,它们也会共用同一硬件资源。
那么如果基于ACL组下发QoS动作,就可能会导致不同ACL组间的某些规则优先级一致。
例如:
ACL2000ruleID为10的配置参数是IP组,指定源IP为1.1.1.1的主机地址。
ACL2001ruleID为15的配置参数也是IP组,指定源IP为2.2.2.2的主机地址。
两者在命令行配置时使用到的参数项目完全一致,只是具体参数数值不同。
它们共用同一硬件资源,在连续激活的情况下也享有相同的执行优先级。
因此如果需要不同ACL间的QoS动作具有不同的优先级,请尽量按照“同一个ACL内的所有规则定义为参数项相同、参数值不同”的原则来组织ACL。
●激活后的ACL规则会占用到硬件资源,与协议模块(例如DHCP,IPoA等)功能共享硬件资源,同时这部分硬件资源较为有限,因此不可避免存在资源不足的情况。
为了避免因为ACL占用相关硬件资源,而造成其他业务功能启动失败的情况,建议用户在配置数据时先启动协议模块,然后再激活ACL。
出现启动某个协议模块失败的情况,处理步骤如下:
首先确认是否是因为ACL占用资源过多而导致启动失败。
如果确认是ACL问题,可以去激活或者删除一部分不重要,或者暂时不使用的ACL配置后,再来启动协议模块。
11.2.6配置和验证
ACL的配置和验证请参见《SmartAXMA5600多业务接入设备配置指南》。
11.3QoS
11.3.1定义
QoS(QualityofService),即业务质量,通过一系列的度量指标,包括业务可用性,吞吐量,时延/抖动,丢失率等,向用户的业务提供端到端的质量保证。
QoS是对ACL过滤出来的报文流按照用户需要进行处理。
11.3.2遵循的协议
●IETFRFC1122RequirementsforInternetHosts--CommunicationLayers
●IETFRFC1349TypeofServiceintheInternetProtocolSuite
●IETFRFC2474DefinitionoftheDifferentiatedServicesField(DSField)intheIPv4andIPv6Headers
11.3.3和其他特性的关系
QoS一般和ACL配合使用。
11.3.4应用
MA5600通过优先级和队列调度提供质量保证。
11.3.5原理
IP优先级、TOS优先级和DSCP优先级
图11-1DS域和ToS字节
IP报文头部的TOS域的定义可以参见RFC791。
如图11-1所示,IPheader的TOS字段有8个bit。
●前三个bit表示的就是IP优先级,取值范围为0~7(可以参见RFC1122);
●第3~6这四个bit表示的是TOS优先级,取值范围为0~15(可以参见RFC1349);
在RFC2474中,重新定义了IP报文头部的TOS域,称之为DS域。
其中DSCP优先级用该域的前六位(0-5位)表示,取值范围为0~63,后2位(6、7位)是保留位。
802.1p优先级
802.1p优先级位于二层报文头部,适用于不需要分析三层报头,只需要在二层环境下保证QoS的场合。
图11-1带有802.1q标签头的以太网帧
如图11-2所示,每一个支持802.1q协议的主机,在发送数据包时,都在原来的以太网帧头中的源地址后增加了一个4字节的802.1q标签头。
这4个字节的802.1q标签头包含了2个字节的标签协议标识TPID(TagProtocolIdentifier,它的值是8100),和2个字节的标签控制信息TCI(TagControlInformation)。
TPID是IEEE定义的新的类型,表明这是一个加了802.1q标签的报文,图11-3显示了802.1q标签头的详细内容。
图11-2802.1q标签头
TCI字节中Priory字段就是802.1p优先级,它由3个bit组成,取值范围为0~7。
这3位指明帧的优先级,一共有8种优先级,主要用于当设备阻塞时,优先发送哪个数据包。
队列调度
当网络拥塞时,必须解决多个报文流同时竞争使用资源的问题,通常采用队列调度加以解决。
MA5600支持两种队列调度模式:
严格优先调度PQ(Strict-PriorityQueue)和加权轮循调度WRR(WeightedRoundRobin)。
缺省情况下MA5600采用严格优先调度模式。
PQ队列调度
图11-1优先队列示意图
PQ队列调度,是针对关键业务型应用设计的。
关键业务有一重要的特点是在拥塞发生时要求优先获得服务以减小响应的延迟。
在队列调度时,PQ严格按照优先级从高到低的次序优先发送较高优先级队列中的分组,当较高优先级队列为空时,再发送较低优先级队列中的分组。
这样,将关键业务的分组放入较高优先级的队列,将非关键业务(如E-Mail)的分组放入较低优先级的队列,可以保证关键业务的分组被优先传送,非关键业务的分组在处理关键业务数据的空闲间隙被传送。
PQ的缺点是:
拥塞发生时,如果较高优先级队列中长时间有分组存在,那么低优先级队列中的报文就会由于得不到服务而被丢弃。
WRR队列调度
WRR队列调度是在队列之间轮流调度,保证每个队列都得到一定的服务时间。
以端口有4个优先级队列为例,WRR可为每个队列配置一个加权值(由高到低依次为w3、w2、w1、w0),加权值表示获取资源的比重。
如一个100M的端口,配置它的WRR队列调度算法的加权值为50、30、10、10(依次对应w3、w2、w1、w0),这样可以保证最低优先级队列至少获得10Mbit/s带宽,避免了采用PQ调度时低优先级队列中的报文可能长时间得不到服务的缺点。
WRR队列还有一个优点是,虽然多个队列的调度是轮循进行,但对每个队列不是固定地分配服务时间片——如果某个队列为空,那么马上换到下一个队列调度,这样带宽资源可以得到充分的利用。
11.3.6配置和验证
配置和验证请参见《SmartAXMA5600多业务接入设备配置指南》。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 华为MA5600特性描述0111 ACLQoS 华为 MA5600 特性 描述 0111