- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
11-QoS
本章节下载: 11-QoS (803.71 KB)
目 录
l 不同型号产品的特性功能支持情况略有不同,对于手册中标有“请以设备实际情况为准”的特性,请参见“01-导读”中的“产品支持特性差异”章节的介绍。
l 本手册致力于提供更加准确的描述和WEB页面截图,但由于产品型号的差异,请在实际使用中以设备实际显示的WEB页面为准。
l 页面上显示为灰色的功能或参数,表示设备不支持或者在当前配置下不可修改。
设备对ACL配置的支持情况与设备的具体型号有关,请以设备的实际情况为准。
随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对报文进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。ACL(Access Control List,访问控制列表)即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。
当设备的端口接收到报文后,即根据当前端口上应用的ACL规则对报文的字段进行分析,在识别出特定的报文之后,根据预先设定的策略允许或禁止该报文通过。
ACL通过一系列的匹配条件对报文进行分类,这些条件可以是报文的源地址、目的地址、端口号等。
由ACL定义的报文匹配规则,可以被其它需要对流量进行区分的特性引用,如QoS中流分类规则的定义。
IPv4 ACL根据ACL序号来区分不同的ACL,可以分为以下类型,如表1-1所示。
|
IPv4 ACL类型 |
ACL序号范围 |
区分报文的依据 |
|
基本IPv4 ACL |
2000~2999 |
只根据报文的源IP地址信息制定匹配规则 |
|
高级IPv4 ACL |
3000~3999 |
根据报文的源IP地址信息、目的IP地址信息、IP承载的协议类型、协议的特性等三、四层信息制定匹配规则 |
|
链路层ACL |
4000~4999 |
根据报文的源MAC地址、目的MAC地址、802.1p优先级、链路层协议类型等二层信息制定匹配规则 |
一个ACL中可以包含多个规则,而每个规则都指定不同的报文匹配选项,这些规则可能存在重复或矛盾的地方,在将一个报文和ACL的规则进行匹配的时候,到底采用哪些规则呢?就需要确定规则的匹配顺序。
IPv4 ACL支持两种匹配顺序:
l 配置顺序:按照用户配置规则的先后顺序进行规则匹配。
l 自动排序:按照“深度优先”的顺序进行规则匹配。
各种IPv4 ACL的“深度优先”顺序判断原则如表1-2所示。
表1-2 IPv4 ACL的“深度优先”顺序判断原则
|
IPv4 ACL类型 |
“深度优先”顺序判断原则 |
|
基本IPv4 ACL |
(1) 先比较源IP地址范围,源IP地址范围小(通配符掩码中“0”位的数量多)的规则优先 (2) 如果源IP地址范围相同,则先配置的规则优先 |
|
高级IPv4 ACL |
(1) 先比较协议范围,指定了IP协议承载的协议类型的规则优先 (2) 如果协议范围相同,则比较源IP地址范围,源IP地址范围小(通配符掩码中“0”位的数量多)的规则优先 (3) 如果协议范围、源IP地址范围相同,则比较目的IP地址范围,目的IP地址范围小(通配符掩码中“0”位的数量多)的规则优先 (4) 如果协议范围、源IP地址范围、目的IP地址范围相同,则比较四层端口号(TCP/UDP端口号)范围,四层端口号范围小的规则优先 (5) 如果上述范围都相同,则先配置的规则优先 |
|
链路层ACL |
先比较MAC地址范围,源MAC地址范围小(掩码中“1”位的数量多)的规则优先 (1) 如果源MAC地址范围相同,则比较目的MAC地址范围,目的MAC地址范围小(掩码中“1”位的数量多)的规则优先 (2) 如果源MAC地址范围、目的MAC地址范围相同,则先配置的规则优先 |
在报文匹配规则时,会按照匹配顺序去匹配定义的规则,一旦有一条规则被匹配,报文就不再继续匹配其它规则了,设备将对该报文执行第一次匹配的规则指定的动作。
传统的报文过滤并不处理所有IP报文分片,而是只对首片(第一片)分片报文进行匹配处理,对后续分片不进行匹配处理。这样,网络攻击者可能构造后续的分片报文进行流量攻击,就带来了安全隐患。
目前,设备提供的对分片报文过滤的功能如下:
l 对所有的分片报文进行三层(IP层)的匹配过滤。
l 对于包含高级信息的ACL规则项(例如包含TCP/UDP端口号,ICMP类型),提供标准匹配和精确匹配两种匹配方式,缺省的匹配方式为标准匹配。
标准匹配和精确匹配的含义如下:
l 标准匹配:只匹配三层信息,而三层以外的信息将被忽略。
l 精确匹配:记录每一个首片分片的三层以上的信息,当后续分片到达时,使用这些保存的信息对ACL规则的每一个匹配条件进行精确匹配。
这两种匹配方式只有防火墙支持。
IPv6 ACL根据ACL序号来区分不同的ACL,可以分为三种类型,如表1-3所示。
|
IPv6 ACL类型 |
ACL序号范围 |
区分报文的依据 |
|
基本IPv6 ACL |
2000~2999 |
只根据源IPv6地址信息制定匹配规则 |
|
高级IPv6 ACL |
3000~3999 |
根据报文的源IPv6地址信息、目的IPv6地址信息、IPv6承载的协议类型、协议的特性等三、四层信息来制定匹配规则 |
IPv6 ACL的支持情况与设备的型号有关,请以设备的实际情况为准。
一个ACL中可以包含多个规则,而每个规则都指定不同的报文匹配选项,这些规则可能存在重复或矛盾的地方,在将一个报文和ACL的规则进行匹配的时候,到底采用那种规则呢?就需要确定规则的匹配顺序。
IPv6 ACL支持两种匹配顺序:
l 配置顺序:按照用户配置规则的先后顺序进行规则匹配。
l 自动排序:按照“深度优先”的顺序进行规则匹配。
各种IPv6 ACL的“深度优先”顺序判断原则如表1-4所示。
表1-4 IPv6 ACL的“深度优先”顺序判断原则
|
IPv6 ACL类型 |
“深度优先”顺序判断原则 |
|
基本IPv6 ACL |
(1) 先比较源IPv6地址范围,源IPv6地址范围小(前缀长)的规则优先 (2) 如果源IPv6地址范围相同,则先配置的规则优先 |
|
高级IPv6 ACL |
(1) 先比较协议范围,指定了IPv6协议承载的协议类型的规则优先 (2) 如果协议范围相同,则比较源IPv6地址范围,源IPv6地址范围小(前缀长)的规则优先 (3) 如果协议范围、源IPv6地址范围相同,则比较目的IPv6地址范围,目的IPv6地址范围小(前缀长)的规则优先 (4) 如果协议范围、源IPv6地址范围、目的IPv6地址范围相同,则比较四层端口号(TCP/UDP端口号)范围,四层端口号范围小的规则优先 (5) 如果上述范围都相同,则先配置的规则优先 |
简单IPv6 ACL只能定义一条规则,不涉及匹配顺序。
在报文匹配规则时,会按照匹配顺序去匹配定义的规则,一旦有一条规则被匹配,报文就不再继续匹配其它规则了,设备将对该报文执行第一次匹配的规则指定的动作。
时间段用于描述一个特殊的时间范围。用户可能有这样的需求:一些ACL规则需要在某个或某些特定时间内生效,而在其他时间段则不利用它们进行报文过滤,即通常所说的按时间段过滤。这时,用户就可以先配置一个或多个时间段,然后在相应的规则下通过时间段名称引用该时间段,这条规则只在该指定的时间段内生效,从而实现基于时间段的ACL过滤。
如果规则引用的时间段未配置,则系统给出提示信息,并允许这样的规则创建成功,但是规则不能立即生效,直到用户配置了引用的时间段,并且系统时间在指定时间段范围内ACL规则才能生效。
Web界面目前不支持对步长的配置。
步长的含义是:设备自动为ACL规则分配编号的时候,每个相邻规则编号之间的差值。例如,如果将步长设定为5,规则编号分配是按照0、5、10、15…这样的规律分配的。缺省情况下,步长为5。
当步长改变后,ACL中的规则编号会自动重新排列。例如,原来规则编号为0、5、10、15,当通过命令把步长改为2后,则规则编号变成0、2、4、6。
当使用命令将步长恢复为缺省值后,设备将立刻按照缺省步长调整ACL规则的编号。例如:ACL 3001,步长为2,下面有4个规则,编号为0、2、4、6。如果此时使用命令将步长恢复为缺省值,则ACL规则编号变成0、5、10、15,步长为5。
使用步长设定的好处是用户可以方便地在规则之间插入新的规则。例如配置好了4个规则,规则编号为:0、5、10、15。此时如果用户希望能在第一条规则之后插入一条规则,则可以使用命令在0和5之间插入一条编号为1的规则。
另外,在定义一条ACL规则的时候,用户可以不指定规则编号,这时,系统会从0开始,按照步长,自动为规则分配一个大于现有最大编号的最小编号。假设现有规则的最大编号是28,步长是5,那么系统分配给新定义的规则的编号将是30。
IPv4 ACL配置的推荐步骤如表1-5所示。
|
步骤 |
配置任务 |
说明 |
|
1 |
可选 新建时间段,ACL中的每条规则都可选择一个时间段,这条规则只在该指定的时间段内生效 |
|
|
2 |
必选 新建IPv4 ACL,可通过配置不同的ID新建不同类型的IPv4 ACL |
|
|
3 |
三者必选其一 定义ACL中的匹配规则 须根据不同类型的IPv4 ACL,配置不同类型的规则 |
|
IPv6 ACL配置的推荐步骤如表1-6所示。
表1-6 IPv6 ACL配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
可选 新建时间段,ACL中的每条规则都可选择一个时间段,这条规则只在该指定的时间段内生效 |
|
|
2 |
必选 新建IPv6 ACL,可通过配置不同的ID新建不同类型的IPv6 ACL |
|
|
3 |
二者必选其一 定义ACL中的匹配规则 须根据不同类型的IPv6 ACL,配置不同类型的规则 |
|
在导航栏中选择“QoS > 时间段”,单击“新建”页签,进入时间段的配置页面,如图1-1所示。
时间段的详细配置如表1-7所示。
|
配置项 |
说明 |
||
|
时间段名称 |
设置新建时间段的名称 |
||
|
周期时间段 |
开始时间 |
设置一个周期时间范围的开始时间 |
选中“周期时间段”前面的复选框后可用 |
|
结束时间 |
设置一个周期时间范围的结束时间,必须大于开始时间 |
||
|
星期日~星期六 |
设置要配置的时间范围在每星期几有效。可在星期日~星期六前的复选框中勾选 |
||
|
绝对时间段 |
从 |
设置一个绝对时间范围从某年某月某日的某一时间开始 |
选中“绝对时间段”前面的复选框后可用 |
|
到 |
设置一个绝对时间范围到某年某月某日的某一时间结束,必须大于有效时间范围的开始时间 |
||
可点击返回“表1-6 IPv6 ACL配置步骤”。
在导航栏中选择“QoS > ACL IPv4”,单击“新建”页签,进入新建IPv4 ACL的页面,如图1-2所示。
新建IPv4 ACL的详细配置如表1-8所示。
表1-8 新建IPv4 ACL的详细配置
|
配置项 |
说明 |
|
访问控制列表ID |
设置新建IPv4 ACL的序号 |
|
匹配规则 |
设置新建IPv4 ACL中各规则的匹配顺序 l 用户配置:按用户的配置顺序进行规则匹配 l 自动:系统自动排序,即按深度优先的原则进行规则匹配 |
可点击返回“表1-5 IPv4 ACL配置步骤”。
在导航栏中选择“QoS > ACL IPv4”,单击“基本配置”页签,进入IPv4 ACL基本规则的配置页面,如图1-3所示。
图1-3 ACL IPv4基本配置
IPv4 ACL基本规则的详细配置如表1-9所示。
表1-9 IPv4 ACL基本规则的详细配置
|
配置项 |
说明 |
|
访问控制列表 |
设置规则所属的基本IPv4 ACL 可选的访问控制列表需通过新建IPv4 ACL来创建,且新建的IPv4 ACL类型需为基本IPv4 ACL |
|
规则ID |
设置所配置规则的ID 如果不指定,系统将为该规则自动指定一个规则ID |
|
操作 |
设置对匹配该规则的IPv4报文所进行的操作 l 允许:表示允许匹配该规则的IPv4报文通过 l 禁止:表示禁止匹配该规则的IPv4报文通过 |
|
分片报文 |
设置该规则仅对非首片分片报文有效,对首片分片报文和非分片报文无效 如不设置,则规则对非分片报文和分片报文均有效 |
|
记录日志 |
设置对匹配该规则的IPv4报文记录日志 日志内容包括:ACL规则的序号、报文通过或被丢弃、IP承载的上层协议类型、源/目的地址、源/目的端口号、报文的数目 |
|
源IP地址 |
设置IPv4报文的源IP地址和通配符(即通配符掩码) 均要求为点分十进制格式 |
|
源地址通配符 |
|
|
时间段 |
设置规则生效的时间段 可选的时间段需通过配置时间段来创建 |
可点击返回“表1-5 IPv4 ACL配置步骤”。
在导航栏中选择“QoS > ACL IPv4”,单击“高级配置”页签,进入IPv4 ACL高级规则的配置页面,如图1-4所示。
图1-4 ACL IPv4高级配置
IPv4 ACL高级规则的详细配置如表1-10所示。
表1-10 IPv4 ACL高级规则的详细配置
|
配置项 |
说明 |
||
|
访问控制列表 |
设置规则所属的高级IPv4 ACL 可选的访问控制列表需通过新建IPv4 ACL来创建,且新建的IPv4 ACL类型需为高级IPv4 ACL |
||
|
规则ID |
设置所配置规则的ID 如果不指定,系统将为该规则自动指定一个规则ID |
||
|
操作 |
设置对匹配该规则的IPv4报文所进行的操作 l 允许:表示允许匹配该规则的IPv4报文通过 l 禁止:表示禁止匹配该规则的IPv4报文通过 |
||
|
分片报文 |
设置该规则仅对非首片分片报文有效,对首片分片报文和非分片报文无效 如不设置,则规则对非分片报文和分片报文均有效 |
||
|
记录日志 |
设置对匹配该规则的IPv4报文记录日志 日志内容包括:ACL规则的序号、报文通过或被丢弃、IP承载的上层协议类型、源/目的地址、源/目的端口号、报文的数目 |
||
|
IP地址过滤 |
源IP地址 |
设置IPv4报文的源IP地址和通配符(即通配符掩码)。均要求为点分十进制格式 |
|
|
源地址通配符 |
|||
|
目的IP地址 |
设置IPv4报文的目的IP地址和通配符(即通配符掩码)。均要求为点分十进制格式 |
||
|
目的地址通配符 |
|||
|
协议 |
设置IP承载的协议类型 选择“1 ICMP”协议后,需配置ICMP类型;选择“6 TCP”或“17 UDP”协议后,可配置TCP/UDP类型 |
||
|
ICMP类型 |
选择ICMP |
设置规则的ICMP报文的消息类型和消息码信息 只有配置项“协议”选择为“1 ICMP”时,才可以配置 在“选择ICMP”下拉框中选择一种ICMP报文类型。如果选择“其他”,则下面的ICMP类型、ICMP码必选输入;否则,下面显示的ICMP类型、ICMP码为系统默认的标准值,不可修改 |
|
|
ICMP类型 |
|||
|
ICMP码 |
|||
|
TCP/ UDP端口 |
已连接 |
设置对TCP连接报文的处理规则 只有配置项“协议”选择为“6 TCP”时,才可以配置。 定义规则匹配带有ack或者rst标志的TCP连接报文 |
|
|
源 |
操作 |
设置TCP/UDP报文的源端口信息和目的端口信息 只有配置项“协议”选择为“6 TCP”或“17 UDP”时,才可以配置。 分别在“源”和“目的”中的“操作”下拉框中选择端口操作符 l 选择“无限制”时,后面的两个“端口”配置项不可以配置 l 选择“在某个范围内”时,后面的两个“端口”配置项都要配置,共同确定一个端口号范围 l 选择其它选项时,后面的两个“端口”配置项中只有第一个要配置,第二个不可以配置 |
|
|
端口 |
|||
|
端口 |
|||
|
目的 |
操作 |
||
|
端口 |
|||
|
端口 |
|||
|
优先级过滤 |
DSCP |
设置DSCP优先级 |
|
|
ToS |
设置ToS优先级 |
||
|
Precedence |
设置IP优先级 |
||
|
时间段 |
设置规则生效的时间段 可选的时间段需通过配置时间段来创建 |
||
可点击返回“表1-5 IPv4 ACL配置步骤”。
在导航栏中选择“QoS > ACL IPv4”,单击“链路层配置”页签,进入IPv4 ACL链路层规则的配置页面,如图1-5所示。
图1-5 ACL IPv4链路层配置
IPv4 ACL链路层规则的详细配置如表1-11所示。
表1-11 IPv4 ACL链路层规则的详细配置
|
配置项 |
说明 |
|
|
访问控制列表 |
设置规则所属的链路层IPv4 ACL 可选的访问控制列表需通过新建IPv4 ACL来创建,且新建的IPv4 ACL类型需为链路层IPv4 ACL |
|
|
规则ID |
设置所配置规则的ID 如果不指定,系统将为该规则自动指定一个规则ID |
|
|
操作 |
设置对匹配该规则的IPv4报文所进行的操作 l 允许:表示允许匹配该规则的IPv4报文通过 l 禁止:表示禁止匹配该规则的IPv4报文通过 |
|
|
MAC地址过滤器 |
源MAC地址 |
设置IPv4报文的源MAC地址和掩码 |
|
源MAC掩码 |
||
|
目的MAC地址 |
设置IPv4报文的目的MAC地址和掩码 |
|
|
目的MAC掩码 |
||
|
COS(802.1p priority) |
设置规则的802.1p优先级 |
|
|
类型过滤器 |
LSAP类型 |
设置规则中LLC封装中的DSAP字段和SSAP字段 l LSAP类型:表示数据帧的封装格式 l LSAP掩码:表示类型掩码,用于指定屏蔽位 |
|
LSAP掩码 |
||
|
协议类型 |
设置规则中的链路层协议类型 l 协议类型:表示数据帧的类型,对应Ethernet_II类型和Ethernet_SNAP类型帧中的type-code域 l 协议掩码:表示类型掩码,用于指定屏蔽位 |
|
|
协议掩码 |
||
|
时间段 |
设置规则生效的时间段 可选的时间段需通过配置时间段来创建 |
|
可点击返回“表1-5 IPv4 ACL配置步骤”。
在导航栏中选择“QoS > ACL IPv6”,单击“新建”页签,进入新建IPv6 ACL的页面,如图1-6所示。
新建IPv6 ACL的详细配置如表1-12所示。
表1-12 新建IPv6 ACL的详细配置
|
配置项 |
说明 |
|
访问控制列表ID |
设置新建IPv6 ACL的序号 |
|
匹配规则 |
设置新建IPv6 ACL中各规则的匹配顺序 l 用户配置:按用户的配置顺序进行规则匹配 l 自动:系统自动排序,即按深度优先的原则进行规则匹配 |
可点击返回“表1-6 IPv6 ACL配置步骤”。
在导航栏中选择“QoS > ACL IPv6”,单击“基本配置”页签,进入IPv6 ACL基本规则的配置页面,如图1-7所示。
图1-7 ACL IPv6基本配置
IPv6 ACL基本规则的详细配置如表1-13所示。
表1-13 IPv6 ACL基本规则的详细配置
|
配置项 |
说明 |
|
访问控制列表 |
设置规则所属的基本IPv6 ACL 可选的访问控制列表需通过新建IPv6 ACL来创建,且新建的IPv6 ACL类型需为基本IPv6 ACL |
|
规则ID |
设置所配置规则的ID 如果不指定,系统将为该规则自动指定一个规则ID |
|
操作 |
设置对匹配该规则的IPv6报文所进行的操作 l 允许:表示允许匹配该规则的IPv6报文通过 l 禁止:表示禁止匹配该规则的IPv6报文通过 |
|
分片报文 |
设置该规则仅对非首片分片报文有效,对首片分片报文和非分片报文无效 如不设置,则规则对非分片报文和分片报文均有效 |
|
记录日志 |
设置对匹配该规则的IPv6报文记录日志 日志内容包括:ACL规则的序号、报文通过或被丢弃、IP承载的上层协议类型、源/目的IPv6地址、源/目的端口号、报文的数目 |
|
源IP地址 |
设置定IPv6报文的源IPv6地址和地址前缀长度 IPv6地址的格式类似于X:X::X:X。IPv6地址共128bit,每16bit为一段,段之间用“:”分隔,每段都可以用4位十六进制数表示 |
|
源地址前缀 |
|
|
时间段 |
设置规则生效的时间段 可选的时间段需通过配置时间段来创建 |
可点击返回“表1-6 IPv6 ACL配置步骤”。
在导航栏中选择“QoS > ACL IPv6”,单击“高级配置”页签,进入IPv6 ACL高级规则的配置页面,如所示。
图1-8 ACL IPv6高级配置
IPv6 ACL高级规则的详细配置如表1-14所示。
表1-14 IPv6 ACL高级规则的详细配置
|
配置项 |
说明 |
||
|
访问控制列表 |
设置规则所属的高级IPv6 ACL 可选的访问控制列表需通过新建IPv6 ACL来创建,且新建的IPv6 ACL类型需为高级IPv6 ACL |
||
|
规则ID |
设置所配置规则的ID 如果不指定,系统将为该规则自动指定一个规则ID |
||
|
操作 |
设置对匹配该规则的IPv6报文所进行的操作 l 允许:表示允许匹配该规则的IPv6报文通过 l 禁止:表示禁止匹配该规则的IPv6报文通过 |
||
|
分片报文 |
设置该规则仅对非首片分片报文有效,对首片分片报文和非分片报文无效 如不设置,则规则对非分片报文和分片报文均有效 |
||
|
记录日志 |
设置对匹配该规则的IPv6报文记录日志 日志内容包括:ACL规则的序号、报文通过或被丢弃、IP承载的上层协议类型、源/目的IPv6地址、源/目的端口号、报文的数目 |
||
|
IP地址过滤 |
源IP地址 |
设置IPv6报文的源IPv6地址和地址前缀长度 IPv6地址的格式类似于X:X::X:X。IPv6地址共128bit,每16bit为一段,段之间用“:”分隔,每段都可以用4位十六进制数表示 |
|
|
源地址前缀 |
|||
|
目的IP地址 |
设置IPv6报文的目的IPv6地址和地址前缀长度 IPv6地址的格式类似于X:X::X:X。IPv6地址共128bit,每16bit为一段,段之间用“:”分隔,每段都可以用4位十六进制数表示 |
||
|
目的地址前缀 |
|||
|
协议 |
设置IPv6承载的协议类型 选择“58 ICMPv6”协议后,需配置ICMP类型;选择“6 TCP”或“17 UDP”协议后,可以配置TCP/UDP类型 |
||
|
ICMPv6类型 |
选择ICMPv6 |
设置规则的ICMPv6报文的消息类型和消息码信息 只有配置项“协议”选择为“58 ICMPv6”时,才可以配置 在“选择ICMPv6”下拉框中选择一种ICMPv6报文格式。如果选择“其他”,则下面的ICMPv6类型、ICMPv6码必选输入;否则,下面的ICMPv6类型、ICMPv6码为系统默认的标准值,不可修改 |
|
|
ICMPv6类型 |
|||
|
ICMPv6码 |
|||
|
TCP/UDP端口 |
源 |
操作 |
设置TCP/UDP报文的源端口信息和目的端口信息 只有配置项“协议”选择为“6 TCP”或“17 UDP”时,才可以配置。 分别在“源”和“目的”中的“操作”下拉框中选择端口操作符 l 选择“无限制”时,后面的两个“端口”配置项不可以配置 l 选择“在某个范围内”时,后面的两个“端口”配置项都要配置,共同确定一个端口号范围 l 选择其它选项时,后面的两个“端口”配置项中只有第一个要配置,第二个不可以配置 |
|
端口 |
|||
|
端口 |
|||
|
目的 |
操作 |
||
|
端口 |
|||
|
端口 |
|||
|
时间段 |
设置规则生效的时间段 可选的时间段需通过配置时间段来创建 |
||
可点击返回“表1-6 IPv6 ACL配置步骤”。
对ACL进行配置时,需要注意如下事项:
(1) 在定义一条ACL规则的时候,用户可以不指定规则ID,这时,系统会自动为ACL规则分配编号,详细情况请参见“1.1.4 ACL步长”。
(2) 新建或修改后的规则不能和已经存在的规则相同,否则会导致新建或修改不成功,系统会提示这条规则已经存在。
(3) 当ACL的匹配顺序为“用户配置”时,用户可以修改该ACL中的任何一条已经存在的规则,在修改ACL中的某条规则时,该规则中没有修改到的部分仍旧保持原来的状态;当ACL的匹配顺序为“自动”时,用户不能修改该ACL中的任何一条已经存在的规则,否则系统会提示错误信息。
设备对QoS配置的支持情况与设备的具体型号有关,请以设备的实际情况为准。
QoS(Quality of Service,服务质量)是各种存在服务供需关系的场合中普遍存在的概念,它评估服务方满足客户服务需求的能力。评估通常不是精确的评分,而是注重分析在什么条件下服务是好的,在什么情况下还存在着不足,以便有针对性地做出改进。
在Internet中,QoS所评估的就是网络转发分组的服务能力。由于网络提供的服务是多样的,因此对QoS的评估可以基于不同方面。通常所说的QoS,是对分组转发过程中为延迟、抖动、丢包率等核心需求提供支持的服务能力的评估。
传统的IP网络无区别地对待所有的报文,设备处理报文采用的策略是FIFO(First In First Out,先入先出),它依照报文到达时间的先后顺序分配转发所需要的资源。所有报文共享网络和设备的资源,至于得到资源的多少完全取决于报文到达的时机。这种服务策略称作Best-Effort,它尽最大的努力将报文送到目的地,但对分组转发的延迟、抖动、丢包率和可靠性等需求不提供任何承诺和保证。
传统的Best-Effort服务策略只适用于对带宽、延迟不敏感的WWW、文件传输、e-mail等业务。
随着计算机网络的高速发展,越来越多的网络接入Internet。Internet无论从规模、覆盖范围和用户数量上都拓展得非常快。越来越多的用户使用Internet作为数据传输的平台,开展各种应用。
除了传统的WWW、e-mail、FTP应用外,用户还尝试在Internet上拓展新业务,比如远程教学、远程医疗、可视电话、电视会议、视频点播等。企业用户也希望通过VPN技术,将分布在各地的分支机构连接起来,开展一些事务性应用:比如访问公司的数据库或通过Telnet管理远程设备。
这些新业务有一个共同特点,即对带宽、延迟、抖动等传输性能有着特殊的需求。比如电视会议、视频点播需要高带宽、低延迟和低抖动的保证。事务处理、Telnet等关键任务虽然不一定要求高带宽,但非常注重低延迟,在拥塞发生时要求优先获得处理。
新业务的不断涌现对IP网络的服务能力提出了更高的要求,用户已不再满足于能够简单地将报文送达目的地,而是还希望在转发过程中得到更好的服务,诸如支持为用户提供专用带宽、减少报文的丢失率、管理和避免网络拥塞、调控网络的流量、设置报文的优先级。所有这些,都要求网络应当具备更为完善的服务能力。
传统网络所面临的服务质量问题,主要是由网络拥塞引起的。所谓拥塞,是指由于供给资源的相对不足而造成分组转发速率下降、引入额外的延迟的一种现象。
在Internet分组交换的复杂环境下,拥塞极为常见。以下图中的两种情况为例:
图2-1 流量拥塞示意图
(1) 分组流从高速链路进入设备,由低速链路转发出去。
(2) 分组流从相同速率的多个端口同时进入网络设备,由一个相同速率的端口转发出去。
如果流量以线速到达,那么就会出现资源的瓶颈而导致拥塞。
不仅仅是链路带宽的瓶颈会导致拥塞,任何用以正常转发处理的资源的不足,如可分配的处理器时间、缓冲区、内存资源的不足,都会造成拥塞。此外,在某个时间内对所到达的流量控制不力,使之超出了可分配的网络资源,也是引发网络拥塞的一个因素。
拥塞有可能会引发一系列的负面影响:
l 拥塞增加了报文传输的延迟和抖动,过高的延迟会引起报文重传。
l 拥塞使网络的有效吞吐率降低,造成网络资源的利用率降低。
l 拥塞加剧会耗费大量的网络资源(特别是存储资源),不合理的资源分配甚至可能导致系统陷入资源死锁而崩溃。
可见,拥塞使流量不能及时获得资源,是造成服务性能下降的源头。然而在分组交换以及多用户业务并存的复杂环境下,拥塞又是常见的,因此必须慎重加以对待。
增加网络带宽是解决资源不足的一个直接途径,然而它并不能解决所有导致网络拥塞的问题。
解决网络拥塞问题的一个更有效的办法是在网络中增加流量控制和资源分配的功能,为有不同服务需求的业务提供有区别的服务,正确地分配和使用资源。在进行资源分配和流量控制的过程中,尽可能地控制好那些可能引发网络拥塞的直接或间接因素,减少拥塞发生的概率;在拥塞发生时,依据业务的性质及其需求特性权衡资源的分配,将拥塞对QoS的影响减到最小。
对于拥塞管理,一般采用队列技术,使用一个队列算法对流量进行分类,之后用某种优先级别算法将这些流量发送出去。每种队列算法都是用以解决特定的网络流量问题,并对带宽资源的分配、延迟、抖动等有着十分重要的影响。
CBQ(Class Based Queuing,基于类的队列)为每个用户定义的类分配一个单独的FIFO(First In First Out,先入先出)预留队列,用来缓冲同一类的数据。在网络拥塞时,CBQ对报文根据用户定义的类规则进行匹配,并使其进入相应的队列,在入队列之前必须进行拥塞避免机制(尾部丢弃或WRED(Weighted Random Early Detection,加权随机早期检测)和带宽限制的检查。在报文出队列时,加权公平调度每个类对应的队列中的报文。
CBQ提供一个紧急队列,紧急报文入该队列,该队列采用FIFO调度,没有带宽限制。这样,如果CBQ加权公平对待所有类的队列,语音报文这类对延迟敏感的数据流就可能得不到及时发送。为此将PQ(Priority Queuing,优先队列)特性引入CBQ,称其为LLQ(Low Latency Queuing,低延迟队列),为语音报文这样的对延迟敏感的数据流提供严格优先发送服务。
LLQ将严格优先队列机制与CBQ结合起来使用,用户在定义类时可以指定其享受严格优先服务,这样的类称作优先类。所有优先类的报文将进入同一个优先队列,在入队列之前需对各类报文进行带宽限制的检查。报文出队列时,将首先发送优先队列中的报文,直到发送完后才发送其他类对应的队列的报文。在发送其他队列报文时将仍然按照加权公平的方式调度。
为了不让其他队列中的报文延迟时间过长,在使用LLQ时将会为每个优先类指定可用最大带宽,该带宽值用于拥塞发生时监管流量。 如果拥塞未发生,优先类允许使用超过分配的带宽。如果拥塞发生,优先类超过分配带宽的数据包将被丢弃。LLQ还可以指定Burst-size。
系统在为报文匹配规则时,规则如下:
l 先匹配优先类,然后再匹配其他类;
l 对多个优先类,按照配置顺序逐一匹配;
l 对其他类,也是按照配置顺序逐一匹配;
l 对类中多个规则,按照配置顺序逐一匹配。
QoS策略包含了三个要素:类、流行为、策略。用户可以通过QoS策略将指定的类和流行为绑定起来,方便的进行QoS配置。
类是用来识别流的。
类的要素包括:类的名称和类的规则。
用户可以定义一系列的规则,来对报文进行分类。同时用户可以指定规则之间的关系:and和or。
l and:报文只有匹配了所有的规则,设备才认为报文属于这个类。
l or:报文只要匹配了类中的一个规则,设备就认为报文属于这个类。
流行为用来定义针对报文所做的QoS动作。
流行为的要素包括:流行为的名称和流行为中定义的动作。
用户可以在一个流行为中定义多个动作。
策略用来将指定的类和指定的流行为绑定起来。
策略的要素包括:策略名称、绑定在一起的类和流行为的名称。
设备支持基于端口的应用,即QoS策略对端口接收或者发送的流量生效。一个策略可以在多个端口上得到应用。端口的每个方向(出/入两个方向)只能应用一个策略。
端口信任模式配置的推荐步骤如表2-1所示。
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 设置端口的优先级信任模式 |
QoS策略配置的推荐步骤如表2-2所示。
表2-2 QoS策略配置步骤
|
步骤 |
配置任务 |
说明 |
|
|
1 |
配置类 |
必选 新建一个类,并配置该类下的规则之间的逻辑关系 |
|
|
必选 配置类中报文所匹配的规则 |
|||
|
2 |
配置流行为 |
必选 新建一个流行为 |
|
|
必选 配置流行为的各种动作 |
|||
|
3 |
配置策略 |
必选 新建一个策略 |
|
|
必选 在策略中为类指定采用的流行为 策略下每个类只能与一个流行为关联,如果一个策略下的某个类与多个流行为配置了关联,则最后的配置将覆盖前面的配置 |
|||
|
4 |
必选 在指定端口上应用QoS策略 |
||
在导航栏中选择“QoS > 信任模式”,进入端口信任模式设置页面,如图2-2所示。
设置端口信任模式的详细配置如表2-3所示。
|
配置项 |
说明 |
|
请选择一种接口类型 |
设置待配置接口的类型 可选的接口类型请以设备的实际情况为准 |
|
信任模式 |
设置端口信任模式 l Dot1p:信任报文自带的802.1p优先级,以此优先级进行优先级映射 l Dscp:信任IP报文自带的DSCP,以此优先级进行优先级映射
不同的接口类型支持的信任模式不相同 |
|
选择接口 |
设置要配置端口信任模式的接口名 列表选择框中为指定接口类型的端口列表,在其中点击进行选择,可以选择一个或多个接口 |
可点击返回“表2-1 端口信任模式配置步骤”。
在导航栏中选择“QoS > 类”,单击“新建”页签,进入新建类的页面,如图2-3所示。
新建类的详细配置如表2-4所示。
|
配置项 |
说明 |
|
类名称 |
为要新建的类指定一个类名称 |
|
操作 |
指定类下的规则之间的逻辑关系: l And:逻辑与的关系,即数据包必须匹配全部规则才属于该类 l Or:逻辑或的关系,即数据包只要匹配其中任何一个规则就属于该类 |
在导航栏中选择“QoS > 类”,单击“设置”页签,进入类的设置页面,如图2-4所示。
分类规则的详细配置如表2-5所示。
|
配置项 |
说明 |
|
|
请选择一个类名称 |
在下拉框中选择一个已创建的类名称 |
|
|
匹配每个报文 |
设置匹配所有报文的规则 选中前面的复选框, 表示匹配所有的报文 |
|
|
DSCP |
设置匹配DSCP的规则 一个类下可配置多条这样的规则,各个配置之间互相不覆盖 每次最多可以配置8个不同的DSCP值;如果一次配置中有多个DSCP值相同,系统默认为一个;多个不同的DSCP值是或的关系;每次配置后,DSCP值将自动按照从小到大的顺序排序显示 |
|
|
IP优先级 |
设置匹配IP优先级的规则 一个类下可配置多条这样的规则,各个配置之间互相不覆盖 每次最多可以配置8个不同的IP优先级值;如果一次配置中有多个IP优先级值相同,系统默认为一个;多个不同的IP优先级值是或的关系;每次配置后,IP优先级值将自动按照从小到大的顺序排序显示 |
|
|
类名称 |
设置匹配QoS类的规则 设备不支持类名称设置 |
|
|
入接口 |
设置匹配入接口的规则 设备不支持入接口设置 |
|
|
RTP Port |
设置匹配RTP协议的端口范围 from为起始端口号start port;to为结束端口号end port 设备不支持RTP Port设置 |
|
|
Dot1p |
运营商网络802.1p |
设置匹配运营商网络802.1p优先级的规则 一个类下可配置多条这样的规则,各个配置之间互相不覆盖 每次最多可以配置8个不同的Dot1p值;如果一次配置中有多个Dot1p值相同,系统默认为一个;多个不同的Dot1p值是或的关系;每次配置后,Dot1p值将自动按照从小到大的顺序排序显示 设备不支持运营商网络802.1p设置 |
|
用户网络802.1p |
设置匹配用户网络802.1p优先级的规则 一个类下可配置多条这样的规则,各个配置之间互相不覆盖 每次最多可以配置8个不同的Dot1p值;如果一次配置中有多个Dot1p值相同,系统默认为一个;多个不同的Dot1p值是或的关系;每次配置后,Dot1p值将自动按照从小到大的顺序排序显示 |
|
|
MAC地址 |
源MAC地址 |
设置匹配报文源MAC地址的规则 一个类下可配置多条这样的规则,各个配置之间互相不覆盖 匹配源MAC地址规则只对以太网类型的接口有意义 |
|
目的MAC地址 |
设置匹配报文目的MAC地址的规则 一个类下可配置多条这样的规则,各个配置之间互相不覆盖 匹配目的MAC地址规则只对以太网类型的接口有意义 |
|
|
VLAN |
运营商网络号 |
设置匹配运营商网络VLAN ID的规则 一个类下可配置多条这样的规则,各个配置之间互相不覆盖 每次可以配置多个VLAN ID值,如果一次配置中有多个VLAN ID值相同,系统默认为一个;多个不同的VLAN ID值是或的关系。有两种输入方式: l 输入一个连续的VLAN ID范围,其中包含的VLAN ID个数没有限制,如:10-500 l 输入不连续的VLAN ID或范围,其中最多可以包含8个VLAN ID,如:3,5-7,10 设备不支持运营商网络号设置 |
|
用户网络号 |
设置匹配用户网络VLAN ID的规则 一个类下可配置多条这样的规则,各个配置之间互相不覆盖 每次可以配置多个VLAN ID值,如果一次配置中有多个VLAN ID值相同,系统默认为一个;多个不同的VLAN ID值是或的关系。有两种输入方式: l 输入一个连续的VLAN ID范围,其中包含的VLAN ID个数没有限制,如:10-500 l 输入不连续的VLAN ID或范围,其中最多可以包含8个VLAN ID,如:3,5-7,10 |
|
|
访问控制列表 |
ACL IPv4 |
设置匹配IPv4 ACL的规则 可选的ACL序号需要先通过新建IPv4 ACL来设置 |
在导航栏中选择“QoS > 流行为”,单击“新建”页签,进入新建流行为的页面,如图2-5所示。
新建流行为的详细配置如表2-6所示。
|
配置项 |
说明 |
|
流行为名称 |
为要新建的流行为指定一个流行为名称 |
在导航栏中选择“QoS > 流行为”,单击“设置”页签,进入流行为的设置页面,如图2-6所示。
流行为其它动作的详细配置如表2-7所示。
|
配置项 |
说明 |
|||
|
请选择一个流行为 |
在下拉框中选择一个已创建的流行为名称 |
|||
|
流量监管 |
使能/禁止 |
设置使能或禁止流量监管 |
||
|
CIR |
设置承诺信息速率,流量的平均速率 |
|||
|
CBS |
设置承诺突发尺寸,每个时间间隔可发送的位数 |
|||
|
Red |
丢包 |
设置数据包的流量不符合承诺速率时,对数据包采取的动作 选中“Red”前的复选框后,可点击后面三个单选按钮进行选择: l 丢包:表示丢弃数据包 l 发送:表示发送数据包 |
||
|
发送 |
||||
|
标记QoS值 |
IP优先级 |
设置标记报文的IP优先级 选中前面的复选框后,在后面的下拉框中选择IP优先级,选择Not Set表示取消标记报文的IP优先级的设置 设备不支持IP优先级的设置 |
||
|
IEEE802.1p优先级 |
设置标记报文的802.1p优先级 选中前面的复选框后,在后面的下拉框中选择802.1p优先级,选择Not Set表示取消标记报文的802.1p优先级的设置 |
|||
|
本地优先级 |
设置标记报文的本地优先级 选中前面的复选框后,在后面的下拉框中选择本地优先级,选择Not Set表示取消标记报文的本地优先级的设置 |
|||
|
DSCP |
设置标记报文的DSCP值 选中前面的复选框后,在后面的下拉框中选择DSCP值,选择Not Set表示取消标记报文的DSCP值的设置 设备不支持DSCP的设置 |
|||
|
队列 |
EF |
带宽限制 |
设置加速转发(Expedited-forwarding)的最大带宽限制 |
设备不支持队列的设置 |
|
CBS |
设置加速转发的承诺突发尺寸 |
|||
|
百分比 |
设置加速转发可用带宽的百分比 |
|||
|
CBS-Ratio |
设置加速转发允许的突发因子 |
|||
|
AF |
带宽限制 |
设置确保转发(Assured-forwarding)的最小带宽保证 |
||
|
百分比 |
设置确保转发可用带宽的百分比 |
|||
|
WFQ |
设置为缺省类配置采用公平队列,并指定公平队列的数目 公平队列的数目必须为2的幂数 |
|||
|
包过滤 |
设置包过滤动作 选中前面的复选框后,在后面的下拉框中进行选择: l Permit:表示发送数据包 l Deny:表示丢弃数据包 l Not Set:表示取消包过滤动作设置 |
|||
|
流量统计 |
设置流量统计动作 选中前面的复选框后,在后面的下拉框中选择Enable或Disable流量统计动作 |
|||
在导航栏中选择“QoS > QoS Policy”,单击“新建”页签,进入新建策略的页面,如图2-7所示。
新建策略的详细配置如表2-8所示。
|
配置项 |
说明 |
|
策略名 |
为要新建的策略指定一个策略名 |
在导航栏中选择“QoS > QoS Policy”,单击“设置”页签,进入策略的设置页面,如图2-8所示。
策略中类和流行为对应关系的详细配置如表2-9所示。
|
配置项 |
说明 |
|
请选择一个策略 |
在下拉框中选择一个已创建的策略名 |
|
类名称 |
在下拉框中选择一个已创建的类名称 可选的类名称需要通过新建类来设置 |
|
流行为名称 |
在下拉框中选择一个已创建的流行为名称 可选的类名称需要通过新建流行为来设置 |
在导航栏中选择“QoS > 端口策略”,单击“设置”页签,进入端口策略的设置页面,如图2-9所示。
在端口上应用策略的详细配置如表2-10所示。
|
配置项 |
说明 |
|
请选择一个策略 |
在下拉框中选择一个已创建的策略名 |
|
方向 |
设置应用QoS策略的方向 l Inbound:表示对端口接收到的报文应用QoS策略 l Outbound:表示对端口发送的报文应用QoS策略 |
|
请选择端口 |
设置要应用该QoS策略的端口 在端口列表选择框中点击进行选择,可以选择一个或多个端口 |
在导航栏中选择“QoS > 服务策略”,进入服务策略页面,如图2-10所示。单击“
”图标,进入如图2-11所示服务策略的设置页面。
在端口上应用策略的详细配置如表2-11所示。
|
配置项 |
说明 |
|
无线服务 |
显示指定的无线服务 |
|
射频单元 |
AP支持的射频号,取值为1或2 射频单元的实际取值与设备型号相关,使用中请以设备的实际情况为准 |
|
入方向策略 |
选择一个已创建的策略名,表示对无线服务接收到的报文应用QoS策略
入方向策略的支持情况与设备实际型号相关,使用中请以设备实际情况为准 |
|
出方向策略 |
选择一个已创建的策略名,表示对无线服务发送的报文应用QoS策略
出方向策略的支持情况与设备实际型号相关,使用中请以设备实际情况为准 |
|
信任模式 |
设置端口优先级信任模式: l untrust:端口不信任报文的优先级 l 802.11e:信任802.11报文携带的802.11e优先级,以此优先级进行优先级映射。 l dscp:信任IP报文自带的DSCP,以此优先级进行优先级映射 |
|
优先级 |
优先级值,优先级的缺省值为0 |
对QoS进行配置时,需要注意如下事项:
(1) 配置流行为中的流量监管时,所配置的CBS值与CIR值的比例如果小于100:16,则可能会影响对突发流量的处理效果。
(2) 如果QoS策略在定义流分类规则时引用了ACL,则QoS策略应用在不同接口上的处理过程不同。设备上哪些接口是软件口、哪些接口是硬件口,请以设备的实际情况为准。具体处理过程如下:
l 若QoS策略应用到软件口上,当分类规则中引用的ACL规则的操作为禁止时,则跳出该分类规则,继续进行后续规则的查找。
l 若QoS策略应用到硬件口上,则忽略ACL规则的操作,以流行为中定义的动作为准,报文匹配只使用ACL中的分类域。
(3) 如果QoS策略应用在端口的出方向,则QoS策略对本地协议报文不起作用。(本地协议报文的含义及其作用如下:某些内部发起的报文是维持设备正常运行的重要的协议报文,为了确保这些报文能够被不受影响的发送出去,遂将其定义为本地协议报文,使得QoS不对其进行处理,降低了因配置QoS而误将这些报文丢弃或进行其他处理的风险。一些常见的本地协议报文如下:链路维护报文、ISIS、OSPF、RIP、BGP、LDP、RSVP、SSH等。)
(4) 流行为中的队列配置需要注意如下事项:
l 在策略下,缺省类default-class不能与EF所属流行为关联;WFQ所属的流行为只能与缺省类关联。
l 同一个策略下为确保转发和加速转发的类指定的带宽之和必须不大于该策略所应用接口的可用带宽。同一个策略下为确保转发和加速转发的类指定的带宽百分比之和必须不大于100。
l 同一个策略下确保转发和加速转发的类的带宽的配置必须都采用相同的值的类型,比如都采用绝对值形式,或者都采用百分比形式。
l 如图3-1所示,无线网络中AP与FTP服务器(IP地址为10.1.1.1/24)相连,无线用户通过接口WLAN-BSS32接入。
l 要求正确配置ACL和QoS策略,禁止用户在每天的8:00~18:00访问FTP服务器。
图3-1 ACL/QoS配置组网图
采用如下思路进行配置:
(1) 配置限制用户在每天的8:00~18:00访问FTP服务器的ACL规则。
(2) 配置QoS策略为:匹配该ACL规则的类,采取丢弃数据包的动作。
(3) 在接口WLAN-BSS1的入方向上应用该QoS策略。
(1) 配置时间段
# 定义每天8:00至18:00的周期时间段。
l 在导航栏中选择“QoS > 时间段”,单击“新建”页签,进行如下配置,如图3-2所示。
图3-2 定义每天8:00至18:00的周期时间段
l 输入时间段名称为“test-time”。
l 选中“周期时间段”前的复选框,设置开始时间为“8:0”、结束时间为“18:0”,并选中“星期日”~“星期六”前的复选框。
l 单击<应用>按钮完成操作。
(2) 配置到FTP服务器的IPv4 ACL
# 新建高级IPv4 ACL。
l 在导航栏中选择“QoS > ACL IPv4”,单击“新建”页签,进行如下配置,如图3-3所示。
l 输入访问控制列表ID为“3000”。
l 单击<应用>按钮完成操作。
# 配置到FTP服务器的访问规则。
l 单击“高级配置”页签,进行如下配置,如图3-4所示。
图3-4 配置到FTP服务器的访问规则
l 选择访问控制列表为“3000”。
l 选中“规则ID”前的复选框,输入规则ID为“2”。
l 选择操作为“允许”。
l 选中“目的IP地址”前的复选框,输入目的IP地址为“10.1.1.1”,输入目的地址通配符为“0.0.0.0”。
l 选择时间段为“test-time”。
l 单击<新建>按钮完成操作。
(3) 配置QoS策略
# 新建类。
l 在导航栏中选择“QoS > 类”,单击“新建”页签,进行如下配置,如图3-5所示。
l 输入类名称为“class1”。
l 单击<新建>按钮完成操作。
# 配置分类规则。
l 单击“设置”页签,进行如下配置,如图3-6所示。
l 选择类名称为“class1”。
l 选中“ACL IPv4”前的复选框,选择访问控制列表ID为“3000”。
l 单击<应用>按钮完成操作。
# 新建流行为。
l 在导航栏中选择“QoS > 流行为”,单击“新建”页签,进行如下配置,如图3-7所示。
l 输入流行为名称为“behavior1”。
l 单击<新建>按钮完成操作。
# 配置流行为的动作。
l 单击“设置”页签,进行如下配置,如图3-8所示。
l 选择流行为为“behavior1”。
l 选中“包过滤”前的复选框,选择行为为“Deny”。
l 单击<应用>按钮完成操作。
# 新建策略。
l 在导航栏中选择“QoS > QoS Policy”,单击“新建”页签,进行如下配置,如图3-9所示。
l 输入策略名为“policy1”。
l 单击<新建>按钮完成操作。
# 配置策略中类和流行为的对应关系。
l 单击“设置”页签,进行如下配置,如图3-10所示。
l 选择策略为“policy1”。
l 选择类名称为“class1”。
l 选择流行为名称为“behavior1”。
l 单击<应用>按钮完成操作。
# 在端口的入方向上应用QoS策略。
l 在导航栏中选择“QoS > 端口策略”,单击“设置”页签,进行如下配置,如图3-11所示。
l 选择策略为“policy1”。
l 选择方向为“Inbound”。
l 选择端口为“WLAN-BSS32”。
l 单击<应用>按钮完成操作。
完成上述配置后,无线用户在每天的8:00~18:00无法访问IP地址为10.1.1.1/24的FTP服务器,其他时间可以访问。
802.11网络提供了基于竞争的无线接入服务,但是不同的应用需求对于网络的要求是不同的,而原始的网络不能为不同的应用提供不同质量的接入服务,所以已经不能满足实际应用的需要。
IEEE 802.11e为基于802.11协议的WLAN体系添加了QoS特性,这个协议的标准化时间很长,在这个过程中,Wi-Fi组织为了保证不同WLAN厂商提供QoS的设备之间可以互通,定义了WMM(Wi-Fi Multimedia,Wi-Fi多媒体)标准。WMM标准使WLAN网络具备了提供QoS服务的能力。
(1) WMM
WMM是一种无线QoS协议,用于保证高优先级的报文有优先的发送权利,从而保证语音、视频等应用在无线网络中有更好的质量。
(2) EDCA
EDCA(Enhanced Distributed Channel Access,增强的分布式信道访问)是WMM定义的一套信道竞争机制,有利于高优先级的报文享有优先发送的权利和更多的带宽。
(3) AC
AC(Access Category,接入类),WMM按照优先级从高到低的顺序分为AC-VO(语音流)、AC-VI(视频流)、AC-BE(尽力而为流)、AC-BK(背景流)四个优先级队列,保证越高优先级队列中的报文,抢占信道的能力越高。
(4) CAC
CAC(Connect Admission Control,连接准入控制),限制能使用高优先级队列(AC-VO和AC-VI队列)的客户端个数,从而保证已经使用高优先级队列的客户端能够有足够的带宽保证。
(5) U-APSD
U-APSD(Unscheduled automatic power-save delivery,非调度自动节能发送),是WMM定义的一种新的节能处理方式,可以进一步提升客户端的节能能力。
(6) SVP
SVP(SpectraLink Voice Priority,Spectralink语音优先级)是Spectralink公司为向语音通话提供QoS保障而设计的语音优先协议。
在802.11协议中DCF(Distributed Coordination Function,分布式协调功能)规定了AP和客户端使用CSMA/CA(Carrier Sense Multiple Access with Collision Avoidance,载波监听/冲突避免)的接入方式。在占用信道发送数据前,AP或客户端会监听信道。当信道空闲时间大于或等于规定的空闲等待时间,AP或客户端在竞争窗口范围内随机选择退避时间进行退避。最先结束退避的设备竞争到信道。在802.11协议中,由于所有设备的空闲等待时间、竞争窗口都相同,所以整个网络设备的信道竞争机会相同。
WMM协议通过对802.11协议的增强,改变了整个网络完全公平的竞争方式,将BSS(Basic Service Set,基本服务集)内的数据报文分为4个AC,高优先级的AC占用信道的机会大于低优先级的AC,从而使不同的AC能获得不同级别的服务。
WMM协议对每个AC定义了一套信道竞争EDCA参数,EDCA参数的含义如下所示。
l AIFSN(Arbitration Inter Frame Spacing Number,仲裁帧间隙数),在802.11协议中,空闲等待时长(DIFS)为固定值,而WMM针对不同AC可以配置不同的空闲等待时长,AIFSN数值越大,用户的空闲等待时间越长,为图4-1中AIFS时间段;
l ECWmin(Exponent form of CWmin,最小竞争窗口指数形式)和ECWmax(Exponent form of CWmax,最大竞争窗口指数形式),决定了平均退避时间值,这两个数值越大,用户的平均退避时间越长,为图4-1中Backoff slots时间段;
l TXOPLimit(Transmission Opportunity Limit,传输机会限制),用户一次竞争成功后,可占用信道的最大时长。这个数值越大,用户一次能占用信道的时长越大,如果是0,则每次占用信道后只能发送一个报文。
图4-1 WMM对每个AC赋予不同的信道竞争参数
CAC的基本原理是客户端只有获得AP的批准,才能以高优先级的AC发送数据,否则只能使用低优先级的AC,保证了已经获得批准的客户端能够获得需要的带宽。这里将各种传输报文分为两类:实时业务流(需要CAC控制的流,包括AC-VO和AC-VI)和普通数据流(不需要CAC控制的流,包括AC-BE和AC-BK)。
如果客户端需要使用高优先级的AC,则需要进行请求,AP按照如下介绍的算法,计算是否允许客户端使用,并将结果回应给客户端。
l 基于信道利用率的准入策略:计算1秒内所有已接入的高优先级AC占用信道的时间,以及请求以高优先级接入的AC占用信道的时间,二者相加,如果小于或等于用户配置的最大信道占用时间,则允许该流以请求的优先级接入。否则,拒绝请求。
l 基于用户数量的准入策略:如果高优先级AC中客户端数量加上请求接入的客户端,小于或等于用户配置的该高优先级AC的最大用户数,则允许该流的请求。否则,拒绝请求。如果一个客户端同时接入AC-VO和AC-VI优先级业务流,接入客户端的个数按1计算。
U-APSD是对原有节能模式的改进。客户端在关联时可以指定某些AC具有触发属性,某些AC具有发送属性,以及触发后最多允许发送的数据报文数量。触发和发送属性还可以在通过连接准入控制创建流的时候进行更改。客户端休眠后,发往客户端的属于具有发送属性AC的数据报文将被缓存在发送缓存队列中,客户端需要发送属于具有触发属性AC的报文以获取发送缓存队列中的报文。AP收到触发报文后,按照接入时确定的发送报文数量,发送属于发送队列的报文。没有发送属性的AC仍然使用802.11定义的传统方式存储和传送。
SVP服务是实现对IP头中Protocol ID为119的SVP报文的处理功能,将其放入指定的AC队列中。由于SVP规定SVP报文不需要进行随机退避,所以当对应AC队列中只有SVP报文时,可以将ECWmin和ECWmax均设置为0。
l 协议规定ACK策略有两种:Normal ACK和No ACK。No ACK(No Acknowledgment)策略,是针对通信质量较好,干扰较小的情况下,在无线报文交互过程中,不使用ACK报文进行接收确认的一种策略。No ACK策略能有效提高传输效率,但在不使用ACK确认的情况下,如果通信质量较差,即使接收端没有收到发送包,发送端也不会重发,所以会造成丢包率增大的问题。
l Normal ACK策略是指对于每个发送的单播报文,接收者在成功接收到发送报文后,都要发送ACK进行确认。
在界面左侧的导航栏中选择“QoS > 无线服务质量”,选择“服务质量设置”页签,进入服务质量显示页面。
图4-2 无线服务质量
在列表中找到要进行配置的射频单元,勾选其前面的复选框,单击<开启>按钮完成操作。缺省情况下,无线服务质量处于开启状态。
WMM协议是802.11n协议所依赖的基础,所以当Radio工作在802.11n(5GHz)或802.11n(2.4GHz)的情况下,WMM功能必须开启,否则可能会导致关联后的802.11n的客户端无法正常通信。
在界面左侧的导航栏中选择“QoS > 无线服务质量”,选择“服务质量设置”页签,进入服务质量显示页面。
图4-3 无线服务质量
在列表中找到要进行配置的射频单元,单击对应
的图标,进入如图4-4所示SVP映射队列配置页面。
图4-4 SVP映射队列设置
SVP映射队列的详细配置如表4-1所示。
表4-1 SVP映射队列的详细配置
|
配置项 |
说明 |
|
射频单元 |
显示选择AP的射频单元 |
|
SVP报文映射 |
选中SVP报文映射前的复选框,选择SVP服务使用的AC优先级队列 l AC-VO:AC-VO(语音流)优先级队列 l AC-VI:AC-VI(视频流)优先级队列 l AC-BE:AC-BE(尽力而为流)优先级队列 l AC-BK:AC-BK(背景流)优先级队列 |
SVP映射只针对非WMM客户端接入,对WMM客户端不起作用。
在界面左侧的导航栏中选择“QoS > 无线服务质量”,选择“服务质量设置”页签,在列表中找到要进行配置的射频单元,单击对应“操作”列中的图标,进入图4-5所示页面。
图4-5 CAC准入控制策略设置
CAC准入控制策略的详细配置如表4-2所示。
表4-2 CAC准入控制策略的详细配置
|
配置项 |
说明 |
|
用户数 |
基于用户数的准入策略 即允许接入的客户端的最大个数,如果一个客户端同时接入AC-VO和AC-VI优先级业务流,接入客户端的个数按1计算 缺省情况下,CAC策略是基于用户数的准入策略,用户数为20 |
|
信道利用率 |
基于信道利用率的准入策略 即单位时间内,允许接入AC-VO和AC-VI优先级的业务流占用信道的有效时间与总共时间的百分比,有效时间为用于实际收发数据的时间 |
在界面左侧的导航栏中选择“QoS > 无线服务质量”,选择“服务质量设置”页签,在列表中找到要进行配置的射频单元,单击对应“操作”列中的图标,进入服务质量设置的配置页面。在“射频EDCA”列表中找到要进行修改的优先级类型(这里以AC_BK优先级为例),单击对应“操作”列中的图标,进入图4-6所示“射频EDCA”参数设置页面。
射频EDCA设置的详细配置如表4-3所示。
表4-3 射频EDCA设置的详细配置
|
配置项 |
说明 |
|
射频单元 |
显示选择AP的射频单元 |
|
优先级类型 |
显示进行配置的优先级类型 |
|
AIFSN |
仲裁帧间隙数 |
|
TXOP Limit |
传输机会限制 |
|
ECWmin |
最小竞争窗口指数形式 |
|
ECWmax |
最大竞争窗口指数形式 |
|
No ACK |
选中“No ACK”前的复选框,表示采取No ACK(No Acknowledgment)策略 缺省情况下,ACK策略为Normal ACK |
射频EDCA参数的缺省情况请参见表4-4。
表4-4 AP使用的EDCA参数的缺省值
|
AC |
AIFSN |
ECWmin |
ECWmax |
|
|
AC-BK |
7 |
4 |
10 |
0 |
|
AC-BE |
3 |
4 |
6 |
0 |
|
AC-VI |
1 |
3 |
4 |
94 |
|
AC-VO |
1 |
2 |
3 |
47 |
l ECWmin的值不能大于ECWmax。
l AP选择802.11b射频模式时,建议将AC-BK、AC-BE、AC-VI、AC-VO的TXOP-Limit参数的值分别配置为0、0、188、102。
在界面左侧的导航栏中选择“QoS > 无线服务质量”,选择“服务质量设置”页签,在列表中找到要进行配置的射频单元,单击对应“操作”列中的图标,进入服务质量设置的配置页面。在“用户EDCA”列表中找到要进行修改的优先级类型(这里以AC_BK优先级为例),单击对应“操作”列中的图标,进入图4-7所示“用户EDCA”参数设置页面。
用户EDCA设置的详细配置如表4-5所示。
表4-5 用户EDCA设置的详细配置
|
配置项 |
说明 |
|
射频单元 |
显示选择AP的射频单元 |
|
优先级类型 |
显示进行配置的优先级类型 |
|
AIFSN |
仲裁帧间隙数 |
|
TXOP Limit |
传输机会限制 |
|
ECWmin |
最小竞争窗口指数形式 |
|
ECWmax |
最大竞争窗口指数形式 |
|
CAC |
客户端使用连接准入控制。AC-VO和AC-VI支持CAC,缺省为关闭。 开启:使用连接准入控制 关闭:禁止连接准入控制 AC-BE和AC-BK不支持CAC功能 |
用户EDCA参数的缺省情况请参见表4-6。
表4-6 用户EDCA参数的缺省值
|
AC |
AIFSN |
ECWmin |
ECWmax |
TXOP Limit |
|
AC-BK |
7 |
4 |
10 |
0 |
|
AC-BE |
3 |
4 |
10 |
0 |
|
AC-VI |
2 |
3 |
4 |
94 |
|
AC-VO |
2 |
2 |
3 |
47 |
l ECWmin的值不能大于ECWmax。
l 如果所有客户端应用802.11b射频模式,建议将AC-VI、AC-VO的TXOP-Limit参数的值分别配置为188、102。
l 如果网络中既有使用802.11b射频卡又有使用802.11g射频卡的客户端,则建议按TXOP-Limit参数值使用表4-6中缺省值。
l 如果某优先级队列的CAC功能被启动,则高于此优先级队列的CAC功能会同时被启用。例如,启动AC-VI优先级CAC功能,则AC-VO优先级也同时启动CAC功能,但是,启动AC-VO优先级的CAC功能,AC-VI优先级的CAC功能不会被启用。
在界面左侧的导航栏中选择“QoS > 无线服务质量”,选择“射频信息”页签,进入射频信息显示页面。点击指定的射频单元后,可以查看相关的详细信息。
表4-7 射频显示信息描述表
|
字段 |
描述 |
|
Radio interface |
WLAN射频接口 |
|
Client EDCA update count |
客户端EDCA参数更新次数 |
|
QoS mode |
QoS模式,WMM:启用QoS模式,None:不启用QoS模式 |
|
Radio chip QoS mode |
Radio是否支持QoS模式 |
|
Radio chip max AIFSN |
Radio支持的AIFSN值的最大值 |
|
Radio chip max ECWmin |
Radio支持的ECWmin值的最大值 |
|
Radio chip max TXOPLimit |
Radio支持的TXOPLimit值的最大值 |
|
Radio chip max ECWmax |
Radio支持的ECWmax值的最大值 |
|
Client accepted |
Radio下已准入的Client数量,包括Voice队列下和Video队列下准入的Client数量 |
|
Total request mediumtime(us) |
所有队列申请的时间,包括Voice队列下和Video队列下申请的时间 |
|
Calls rejected due to insufficient resource |
因资源不足拒绝的请求数量 |
|
Calls rejected due to invalid parameters |
因参数无效拒绝的请求数量 |
|
Calls rejected due to invalid mediumtime |
因接入时间无效拒绝的请求数量 |
|
Calls rejected due to invalid delaybound |
因延迟时间无效拒绝的请求数量 |
|
Admission Control Policy |
准入控制策略 |
|
Threshold |
准入控制策略使用的门限值 |
|
CAC-Free's AC Request Policy |
对不支持CAC功能的AC采用的回应策略 |
|
CAC Unauthed Frame Policy |
对CAC未授权报文的处理策略 |
|
CAC Medium Time Limitation(us) |
CAC策略允许的接入时间上限,单位为微秒 |
|
CAC AC-VO's Max Delay(us) |
CAC策略允许的语音流延迟上限,单位为微秒 |
|
CAC AC-VI's Max Delay(us) |
CAC策略允许的视频流延迟上限,单位为微秒 |
|
SVP packet mapped AC number |
SVP报文映射到的AC的编号 |
|
ECWmin |
ECWmin的值 |
|
ECWmax |
ECWmax的值 |
|
AIFSN |
AIFSN的值 |
|
TXOPLimit |
TXOP limit的值 |
|
AckPolicy |
设备使用的ACK策略 |
|
CAC |
表示此队列是否受CAC的限制,Disabled表示不受限制,Enabled表示受限制 |
在界面左侧的导航栏中选择“QoS > 无线服务质量”,选择“客户端信息”页签,进入客户端信息显示页面。点击指定的客户端后,可以查看相关的详细信息。
图4-9 显示客户端信息
表4-8 客户端显示信息描述表
|
字段 |
描述 |
|
MAC address |
Client的MAC地址 |
|
SSID |
SSID名 |
|
QoS Mode |
QoS模式,WMM:启用QoS模式,None:不启用QoS模式 |
|
Max SP length |
最大服务时间长度 |
|
AC |
接入类 |
|
State |
AC队列的APSD属性 l T表示本AC有trigger-enabled属性 l D表示本AC有delivery-enabled属性 l T | D表示上面的两个属性都有 l L表示本AC有Legacy属性 |
|
Assoc State |
Client接入时指定的AC的APSD属性 |
|
Uplink CAC packets |
上行CAC的报文数 |
|
Uplink CAC bytes |
上行CAC的字节数 |
|
Downlink CAC packets |
下行CAC的报文数 |
|
Downlink CAC bytes |
下行CAC的字节数 |
|
Downgrade packets |
降级处理的报文数 |
|
Downgrade bytes |
降级处理的字节数 |
|
Discard packets |
丢弃处理的报文数 |
|
Discard bytes |
丢弃处理的字节数 |
为了保证无线网络中所有客户端都能正常使用网络业务,需要对无线网络中客户端的速率进行限制。基于客户端的速率限制功能有两种模式:
l 动态模式:在同一个AP内,配置的速率值是所有客户端使用的总速率。每个客户端的速率是配置速率值/客户端数量。例如,配置10M速率,有5个用户上线,则每个用户的速率限制为2M。
l 静态模式。由用户静态配置每个客户端的速率,即配置的速率是同一个AP内,每个客户端的最大速率。例如,配置1M速率,则每个上线的客户端的速率限制为1M。接入用户数增加至一定数量时,如果接入用户数所占的带宽之和大于总带宽,那么每个用户的带宽将不能保证获得的指定带宽,但每个用户带宽都相同,上限不超过设定值。
在界面左侧的导航栏中选择“QoS > 无线服务质量”,选择“用户限速”页签,单击“新建”按钮,进入图4-10所示用户限速的配置页面。
用户限速的设置的详细配置如表4-9所示。
|
配置项 |
说明 |
|
无线服务 |
显示已有的无线服务 |
|
方向 |
包括入方向和出方向 l 入方向:从客户端到AP l 出方向:从AP到客户端 l 出/入方向:包括出方向(从AP到客户端)和入方向(从客户端到AP) |
|
模式 |
模式,包括动态和静态两种模式 l 静态模式:由用户静态配置每个客户端的速率 l 动态模式:表示在同一个AP内,配置的速率值是所有客户端使用的总速率。每个客户端的速率是配置速率值/客户端数量 |
|
速率 |
l 选择静态模式时,显示固定速率:设置的速率值为每个客户端的速率 l 选择动态模式时,显示共享速率:设置的速率值为所有客户端的总速率 |
无线接入点连接以太网,并启用WMM功能。对无线接入点FAT AP的客户端AC-VO和AC-VI启用CAC功能,使用用户数判断策略,允许接入用户数为10。
图4-11 CAC服务组网图
(1) 配置无线服务
相关配置请参见“无线服务模块”,可以完全参照相关举例完成配置。
(2) 配置无线服务质量
# 在界面左侧的导航栏中选择“QoS > 无线服务质量”,选择“服务质量设置”页签,确认WMM状态处于开启状态。
图4-12 无线服务质量页面
# 在列表中找到要进行配置的射频单元,单击对应“操作”列中的图标,进入服务质量设置的配置页面。在“用户EDCA”列表中找到要进行修改的优先级类型(这里以AC_VO优先级为例),单击对应“操作”列中的图标,进入“用户EDCA”参数设置页面。
图4-13 开启CAC
l 选择CAC功能为“开启”。
l 单击<确定>按钮完成操作。
# 使用相同的方法开启AC_VI的CAC功能。
# 在界面左侧的导航栏中选择“QoS > 无线服务质量”,选择“服务质量设置”页签,在列表中找到要进行配置的射频单元,单击对应“操作”列中的图标,进入服务质量设置的配置页面。
图4-14 CAC用户数配置页面
l 选中“用户数”前的复选框,输入10。
l 单击<确定>按钮完成操作。
如果AP上高优先级AC中客户端数量加上请求接入的客户端,小于或等于用户配置的高优先级AC的最大用户数10(本例中为10),则允许用户的请求。否则,拒绝请求。
无线接入点连接以太网,并启用WMM功能。无线接入点将SVP报文放到AC-VO队列,并将接入点AC-VO队列的ECWmin和ECWmax参数设置为0。
图4-15 SVP服务配置举例组网图
(1) 配置无线服务
相关配置请参见“无线服务模块”,可以完全参照相关举例完成配置。
(2) 配置无线服务质量
# 在界面左侧的导航栏中选择“QoS > 无线服务质量”,选择“服务质量设置”页签,确认WMM状态处于开启状态。
图4-16 无线服务质量页面
# 在界面左侧的导航栏中选择“QoS > 无线服务质量”,选择“服务质量设置”页签,在列表中找到要进行配置的射频单元,单击对应“操作”列中的图标,进入服务质量设置的配置页面。
图4-17 配置SVP报文映射
l 选中SVP报文映射前的复选框,选择“AC_VO”选项。
l 单击<确定>按钮完成操作。
# 在列表中找到要进行配置的射频单元,单击对应“操作”列中的图标,进入服务质量设置的配置页面。在“射频EDCA”列表中找到要进行修改的优先级类型(这里以AC_VO优先级为例),单击对应“操作”列中的图标,进入“射频EDCA”参数设置页面。
图4-18 配置射频EDCA
l 在ECWmin和ECWmax输入框中输入数值0。
l 单击<确定>按钮完成操作。
一个非WMM客户端上线,打入SVP报文,SVP报文会从所配置的AC-VO队列转发。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
