- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-接口转发配置
本章节下载: 01-接口转发配置 (609.06 KB)
超低时延交换机的最低转发时延达到4ns,突破了传统以太网交换机500ns的时延瓶颈,极大提高了设备的转发效率。
超低时延交换机S6116系列主要包括L1以太网交换机S6116-48X和L1.5以太网交换机S6116-48X-M。
超低时延交换机S6116系列根据用户的配置对报文做快速转发和复制。设备业务口不支持传统二、三层转发及相关协议。
L1以太网交换机工作在物理层,可以根据用户的配置对报文做快速转发和复制,最低时延达到4ns。H3C S6116以太网交换机支持信号再生和增强,支持对以太网报文的端口统计,既具有超低时延特性,同时具有普通以太网交换机的可维护性。
L1以太网交换机支持的特性如下:
· Patch Panel:实现两端口之间流量互通。
· Fan-out:实现流量的1:N复制。
· 支持流量统计(可以使用dislay interface命令查看统计信息)。
· 支持接口状态信息上报
L1交换机任意两端口之间通过配置Patch Panel可以实现流量双向互通,从某个端口收到的报文都会直接转发给另一个端口,反之亦然。如图1-1所示,在端口1和端口4之间配置Patch Panel,可以实现两端口流量互通。
在需要将同一个报文发送给多个接收者的情况下,例如将瞬息万变的行情数据同时发送给多个服务器,传统的交换机和路由器会在特定VLAN的多个端口上广播发送报文,或者通过组播发送到特定的端口子集,这两种方式至少需要耗时500ns。
L1以太网交换机通过Fan-out功能实现流量的1:N快速复制,把流量从一个端口同时发送给多个端口,最小时延达到4ns。L1以太网交换机可以支持物理层信号再生和时钟数据恢复,因此数据在多次复制后仍然保持完整性。如图1-2所示,在设备上配置Fan-out功能可将端口1的流量复制下发给端口2、3和4。
图1-2 Fan-out示意图
接口快速转发是指为当前接口指定转发报文的源接口,当从源接口收到报文时,报文将直接从当前接口转发出去,无需查表转发。接口快速转发可以满足低时延要求,保证报文的快速传输。
接口快速转发支持以下两种模式:
· 1:1转发模式:1个源接口对应1个目的接口,从指定源接口收到的报文从指定目的接口转发。
· 1:N转发模式:1个源接口对应多个目的接口,从源接口收到报文后,会在每个目的接口转发一份报文。
H3C S6116-48X-M系列L1.5以太网交换机支持L1以太网交换机的所有功能,包括Fan-out、Patch Panel等,同时支持FPGA扣卡,可以加载多个FPGA应用程序,不同应用程序可以根据用户组网需要动态切换,从而实现不同的功能。
L1.5以太网交换机支持的FPGA应用程序如下:
· Fast MUX:支持四个MUX组,分别实现上行15:1,15:1,7:1,7:1复用功能,最低时延35ns。
· 增强Security MUX:支持一个Mux分组且组内支持配置两个upstream接口,上行最多支持46:2复用功能,下行最多支持2:46解复用,并支持在上行或下行流量的出端口配置ACL控制报文转发。
· 多分组SecurityMUX:支持四个Mux组与demux组,且Mux组内支持配置一个upstream接口,分别实现上行7:1、7:1、13:1,15:1复用功能,和下行1:7、1:7、1:13、1:15解复用功能,并支持在下行流量的出端口配置ACL控制报文转发。支持2个端口用来做监控口,用来监控MUX组的流量。
· Tapping Aggregation:支持将入方向流量镜像到其他端口,同时支持镜像监控出口负载分担功能,可以支持配置4个镜像监控出口,对镜像流量进行负载分担。
FastMux是专为追求超低时延应用而设计的APP,下行流量由L1层Fan-out广播,不需要经过FPGA处理,上行流量由FPGA实现复用(最低时延35ns)。设备在FastMux模式下支持配置4组Mux,软件设计非常灵活,可根据需求进行动态调整端口所属的分组。
图1-3 FastMux App分组逻辑示意图(本图中端口与Mux组配置关系仅为示例,设备支持按需配置)
增强SecurityMux是为了数据的安全转发而设计的APP。上行流量基于FPGA实现最大46:2复用,由FPGA实现调度功能,下行流量基于FPGA实现解复用。上行或下行流量的出端口支持配置ACL控制报文转发。
多分组SecurityMux实现原理与增强SecurityMux相同,是为了数据的安全转发而设计的APP。支持四个Mux分组,上行流量基于FPGA分别实现7:1、7:1、13:1,15:1复用功能,下行流量基于FPGA实现1:7、1:7、1:13、1:15解复用功能。下行流量的出端口支持配置ACL控制报文转发。支持2个端口用来做监控口,用来监控MUX组的流量。
Tapping Aggregation是为了支持数据镜像而设计的APP,该功能将1个或多个端口的报文数据镜像和打时间戳,并汇聚为最多4个监控口对数据流进行转发、备份。多个监控口之间支持负载分担。
镜像汇聚后的报文格式相对于原始报文,报文末尾增加了17字节的时间戳信息(TS)和4字节的检验码信息(FCS)。
如果原始报文长度超过1518字节,则镜像汇聚报文截取前1518字节部分然后添加时间戳信息和校验码。
时间戳报文格式如图1-6所示,时间戳共17字节,包括完整的CF域格式的时间戳和报文信息。
各个字段的解释如下:
· Device_id :4个字节,表示设备ID。
· 仅支持读取管理用以太网口的主IPv4地址作为Device_id,不支持读取IPv4从地址和IPv6地址。
· 当管理用以太网口只配置了IPv4从地址或IPv6地址时,Device_id为0。
· Flag:1个字节,各比特位含义如下:
¡ [7:4]:Reserved,表示保留位,固定为0;
¡ [3]:Syn_lost,为1表示本地时钟,为0表示同步时钟;
如下几种情况为时钟同步:
· 当设备外部时钟输入源为GPS/1PPS时,时钟源锁定,认为时钟同步;
· 当设备外部时钟输入源为SyncE时,时钟源锁定且PTP收敛后,认为时钟同步;
· 当设备没有外部时钟输入源只使用PTP功能时,PTP收敛后,认为时钟同步。
¡ [2]:Trunk_frame,为1表示报文长度超过1518字节(原始报文长度,包括FCS),为0表示报文长度未超过1518字节;
¡ [1]:Reserved,表示保留位,固定为0;
¡ [0]:Normal,为1表示正常报文,为0表示异常报文(例如报文出现CRC错误)。
· Port_id:1个字节,表示接收被镜像报文的设备面板上的端口编号。例如2表示被镜像报文是面板上编号为2的端口接收的。
· Reserved:1个字节,保留使用,各位均为0。
· CorrectionField:10个字节,表示扩充后的CF域。
FPGA将1588v2标准定义的64 bit的CF域扩充到了80 bit以便表示更大的时间范围。CF域数据的计算方式不变,即自1970年1月1日(00:00:00 GMT)起至设备时间的总纳秒数乘以216。
从CF域数据转换到时间戳格式的方法如下(ps:皮秒;ns:纳秒;s:秒):
· ps = CorrectionField[15:0] * 1000 / 216,简化计算时可以直接取CorrectionField[15:6]作为ps值;
· ns = CorrectionField[79:16] % 1000000000,即除以10亿取余;
· s = CorrectionField[79:16] / 1000000000,即除以10亿取整。
计算所得的总秒数,指的是格林威治时间自1970年1月1日(00:00:00 GMT)至当前时间的总秒数。
请保证源接口、目的接口上都插入了相同速率的光模块,否则流量从源接口转发到目的接口时可能产生拥塞。
源接口和目的接口必须在同一设备上。
SFP+接口使用1G速率模块时支持自适应,不需要使用speed命令配置速率。
SFP+接口使用1G速率模块时,建立单向连接时,需要对端设备开启全双工模式端口才能UP。
Patch panel是指1:1流量转发方式。
为当前接口指定转发报文的源接口,当从源接口收到报文时,报文将直接从当前接口转发出去,以实现快速转发。
在源接口下执行destination-interface命令指定一个目的接口,也可以实现1:1的接口快速转发功能。
不建议配置多接口级联,否则可能会导致端口震荡。例如A接口在通过source-interface命令配置源接口为B接口后,不建议再配置其他接口的源接口为A接口。
(1) 进入系统视图。
system-view
(2) 进入以太网接口视图。
interface interface-type interface-number
当前接口为目的接口。
(3) 指定源接口。
source-interface interface-type interface-number
(1) 进入系统视图。
system-view
(2) 进入以太网接口视图。
interface interface-type interface-number
当前接口为源接口。
(3) 指定目的接口。
destination-interface interface-type interface-number
Fan-out是指1:N流量转发方式。
为当前接口指定转发报文的目的接口,即当前接口收到报文时,报文将直接从目的接口转发出去,以实现快速转发。如果配置多个目的接口,则源接口收到报文时,会在每个目的接口转发一份该报文。
执行destination-interface命令后,将会在目的接口下下发source-interface命令;执行undo destination-interface命令后,将会在目的接口下删除source-interface命令。
在多个目的接口下执行source-interface命令指定相同源接口,也可以实现1:N的接口快速转发功能。
(1) 进入系统视图。
system-view
(2) 进入以太网接口视图。
interface interface-type interface-number
当前接口为源接口。
(3) 指定目的接口。
destination-interface interface-list
本功能用于连接一对指定接口,配置本功能后,接口之间彼此互相为源接口和目的接口,通过源接口的转入流量都会从指定的目的接口转出。
执行connection-interface命令后,将会在相互连接的接口下下发source-interface命令;执行undo connection-interface命令后,将会在相互连接的接口下删除source-interface命令。
(1) 进入系统视图。
system-view
(2) 连接一对指定接口。
connection-interface interface-type interface-number1 interface-type interface-number2
在配置Patch Panel时,利用connection-interface命令、source-interface命令或destination-interface命令可建立源接口和目标接口间的转发关系,从而实现端口流量互通。
然而,面对多层设备级联的场景,信号在逐级转发过程中可能会逐渐衰减。以三层网络结构为例,当二级设备连接至三级设备时,信号需先通过二级设备的源接口传输至目标接口,然后再发送至三级设备。在此过程中,信号的衰减可能导致数据包丢失,进而影响到报文的正常传递至三级设备。
本功能用于解决上述问题。
配置本功能,当从当前接口收到报文时,报文将直接从目的接口转发出去,以实现快速转发。如果配置多个目的接口,则源接口收到报文时,会在每个目的接口转发一份该报文。同时设备会建立当前接口与目的接口之间的增强连接关系,并修改底层连接关系,改变接口的内部流量走向,从而达到增强信号的目的,保证多层设备级联后不会丢包。
仅R6712P02及以上版本支持本功能。
建立增强连接关系会消耗1和pipe统计端口资源,设备只有13个pipe统计端口资源,因此最多支持创建13个接口之间的增强连接关系,超过13个后,新配置的增强连接关系失败。
指定的目的接口/源接口必须与当前接口同一设备上;必须是相同的接口类型。
请保证源接口、目的接口上都插入了相同速率的光模块,否则流量从源接口转发到目的接口时可能产生拥塞。
指定目的接口列表不能包含当前接口。
执行enhanced-connection destination-interface命令后,设备会自动在目的接口下发enhanced-connection source-interface命令。
执行undo enhanced-connection destination-interface命令后,设备会自动在目的接口下发undo enhanced-connection source-interface命令。即取消当前接口与目的接口之间的增强连接关系。
配置enhanced-connection destination-interface命令/enhanced-connection source-interface命令后,不允许配置如下命令。反之,配置如下任意一条命令后,不允许配置enhanced-connection destination-interface命令/enhanced-connection source-interface命令:
· connection-interface
· destination-interface
· source-interface
配置本功能时,接口必须已开启流量统计功能(通过counter enable命令配置)。配置本功能后,接口无法关闭流量统计功能。
(1) 进入系统视图。
system-view
(2) 进入以太网接口视图。
interface interface-type interface-number
当前接口为源接口。
(3) 在当前接口与指定的目的接口之间建立增强连接关系。
enhanced-connection destination-interface interface-list
缺省情况下,当前接口与指定的目的接口之间未建立增强连接关系。
(1) 进入系统视图。
system-view
(2) 进入以太网接口视图。
interface interface-type interface-number
当前接口为目的接口。
(3) 在当前接口与指定的源接口之间建立增强连接关系。
enhanced-connection source-interface interface-type interface-number
缺省情况下,当前接口与指定的源接口之间未建立增强连接关系。
在接口视图下,如果希望快速看到当前接口的互连信息,可以使用本功能查看。
在当前接口视图下执行display this interface connection命令与任意视图下执行display interface connection查看到的显示信息一致。
(1) 进入系统视图。
system-view
(2) 进入以太网接口视图。
interface interface-type interface-number
(3) 显示当前接口的互连信息。
display this interface connection
已建立连接后,执行transceiver tx-disable命令会使连接中断,具体如下:
· SFP+接口使用10G速率模块时,本端和对端端口均会DOWN。
· SFP+接口使用1G速率模块时,本端端口状态不会改变,对端DOWN。
(1) 进入系统视图。
system-view
(2) 进入以太网接口视图。
interface interface-type interface-number
(3) 配置光模块发送报文功能。
¡ 开启光模块发送报文功能。
transceiver tx-enable
¡ 关闭光模块发送报文功能。
transceiver tx-disable
缺省情况下,光模块的发送报文功能处于开启。
FastMux、增强SecurityMUX、多分组SecurityMux模式下,fast-mux组、mux组与demux组内的端口不支持1G速率模块;仅Tapping Aggregation模式支持1G速率模块。
SFP+接口使用1G速率模块时支持自适应,不需要使用speed命令配置速率。
SFP+接口使用1G速率模块时:
· 建立单向连接时,需要对端设备开启全双工模式端口才能UP。
· 如果该端口作为Tapping Aggregation模式的镜像组源端口或目的端口,则需要本端口和对端设备端口都开启全双工模式。
· 对于R6712P02之前的版本,需要执行transceiver tx-disable命令关闭光模块发送报文功能再执行transceiver tx-enable命令开启光模块发送报文功能才能使对端端口UP。对于R6712P02及以上版本,没有此限制。
· 对于R6712P02之前的版本,如果设备出现重启或手工配置端口shutdown/undo shutdown等操作后,需要重新依次执行transceiver tx-disable和transceiver tx-enable命令使对端端口UP。对于R6712P02及以上版本,没有此限制。
L1.5以太网交换机通过FPGA实现FastMux、增强SecurityMUX、多分组SecurityMux和Tapping Aggregation功能,因此在使用不同的功能时,需要将FPGA升级到不同的模式。当前支持的FPGA模式包括如下几种:
· fast-mux:FastMux模式,该模式下支持管理员在设备上配置fast-mux组。
· sec-mux-enhance:增强SecurityMUX模式,该模式下支持管理员在设备上配置mux组与demux组,mux组支持配置2个upstream接口。
· multi-sec-mux:多分组SecurityMux模式,该模式下支持管理员在设备上配置四个mux组与demux组,mux组支持配置1个upstream接口。
· tapping-aggr:镜像汇聚模式,支持将流量镜像到配置tapping-aggr逻辑的FPGA上进行流量的镜像监控和打时间戳,并从指定的面板监控口将报文转发出去。
对于有两片FPGA的设备,可以为两片FPGA指定不同的模式。对于H3C开发的模式(multi-sec-mux、fast-mux、sec-mux-enhance、tapping-aggr),第一片FPGA支持配置所有模式,第二片FPGA只支持指定为tapping-aggr模式。为第一片FPGA指定fast-mux、sec-mux-enhance或multi-sec-mux模式,为第二片FPGA指定tapping-aggr模式,可以实现将流量镜像到第二片FPGA。设备不支持用户自行开发的模式。
配置FPGA模式前,请先删除该模式下的fast-mux组、mux组、demux组、镜像汇聚组的monitor-port、已应用的QoS策略、和报文过滤(packet-filter)的配置,否则设备会提示“Operation failed”,切换FPGA模式失败。
(1) 升级FPGA固件模式。
firmware update slot slot-number fpga fpga-number { fast-mux | multi-sec-mux | sec-mux-enhance | tapping-aggr }
升级FPGA固件模式为H3C开发的模式(fast-mux、sec-mux-enhance、multi-sec-mux、tapping-aggr)时,必须采用指定模式名称的方式,即指定fast-mux、sec-mux-enhance、multi-sec-mux或tapping-aggr关键字。设备不支持用户自行开发的模式。
向fast-mux组中添加upstream接口和downstream接口,多个downstream接口收到的报文汇总到一个upstream接口转发。
根据fast-mux组中,downstream接口数和upstream接口数的比例,fast-mux组的关联类型分为如下两种:
· 7:1资源组类型:表示最多7个downstream接口对应1个upstream接口。
· 15:1资源组类型:表示最多15个downstream接口对应1个upstream接口。
upstream接口的监控功能主要用于将upstream接口的流量复制到监控接口,重定向功能根据监控流量方向的不同,分为如下两种模式:
· 0:表示转发到upstream接口并复制到monitportlist接口,且这些接口使用同一片FPGA的逻辑。
· 1:表示转发到upstream端口、复制到monitportlist口和配置tapping-aggr逻辑的FPGA上的内部接口。该FPGA上内部接口的流量走镜像汇聚流程,从该FPGA上配置的镜像监控口转发出去。
重定向模式1需要支持两片FPGA的产品才可以使用。
对于复制到配置tapping-aggr逻辑的FPGA上的内部接口的流量,还需要配置本地镜像组,将流量复制到镜像目的端口。
fast-mux组中的downstream接口需要指定为L1的目的接口建立L1反向连接,接口状态才能变为UP。
建议先配置FastMux,再配置L1连接,否则可能会出现接口震荡。
将接口配置为upstream接口(upstream-port interface-list)与如下配置互斥:
· 配置监控端口(upstream-port interface-list monitportlist interface-list);
· 配置downstream接口(downstream-port interface-list);
· 配置镜像组目的端口(mirroring-group group-id monitor-port interface-type interface-number);
· 配置L1的目的端口(destination-interface interface-type interface-number)。
将接口配置为监控端口(upstream-port interface-list monitportlist interface-list)与如下配置互斥:
· 配置upstream接口(upstream-port interface-list);
· 配置downstream接口(downstream-port interface-list);
· 指定L1转发源接口(source-interface);
· 指定L1转发目的接口(destination-interface);
· 其它upstream接口配置的monitportlist;
· 配置镜像组目的端口(mirroring-group group-id monitor-port interface-type interface-number)。
将接口配置为downstream接口(downstream-port interface-list)与如下配置互斥:
· upstream接口(upstream-port interface-list)
· 配置监控端口(upstream-port interface-list monitportlist interface-list);
· 配置镜像组目的端口(mirroring-group group-id monitor-port interface-type interface-number);
· 配置镜像组源端口(mirroring-group group-id mirroring-port interface-type interface-number)。
在本模式下,如果单个数据包的大小超过了2.5KB,则对端设备可能会统计到错误的数据包。
Fast mux组的upstream-port统计占用pipe端口统计资源,如果L1的端口占用了全部的13个pipe端口统计资源,则fast mux组的upstream-port流量将无法统计。
(1) 升级FPGA固件为FastMux模式。
firmware update slot slot-number fpga fpga-number fast-mux
(2) 进入系统视图。
system-view
(3) 创建fast-mux组,并进入fast-mux组视图。
¡ 配置7:1资源组类型的fast-mux组。
fast-mux fast-mux-id type 1 fpga fpga-number
¡ 配置15:1资源组类型的fast-mux组。
fast-mux fast-mux-id type 2 fpga fpga-number
(4) 指定1个upstream接口。
upstream-port interface-type interface-number [ monitportlist interface-list | redirect-mode mode-number ]
(5) 指定多个downstream接口。
downstream-port interface-list
mux组与demux组配合使用,mux组用于处理上行流量,demux组用于处理下行流量:
· 通过mux组可以实现超低时延的快速转发。向mux组中添加upstream接口和downstream接口,多个downstream接口收到的报文汇总到upstream接口转发。
· 通过demux组可以实现超低时延的快速转发。向demux组中添加upstream接口和downstream接口,downstream接口收到的报文可以分发到所有upstream接口转发。
upstream接口的监控功能主要用于将upstream接口的流量复制到监控接口,重定向功能根据监控流量方向的不同,分为如下两种模式:
· 0:表示转发到upstream接口并复制到monitportlist接口,且这些接口使用同一片FPGA的逻辑。
· 1:表示转发到upstream端口、复制到monitportlist口和配置tapping-aggr逻辑的FPGA上的内部接口。该FPGA上内部接口的流量走镜像汇聚流程,从该FPGA上配置的镜像监控口转发出去。
创建demux组前需先创建mux组并配置upstream接口和downstream接口,否则创建失败。
修改mux组前需先删除设备中存在的demux组;删除mux组会同步删除设备中存在的demux组。
mux组中的upstream接口对应demux组中的downstream接口;mux组中的downstream接口对应demux组中的upstream接口。
mux组中的downstream接口需要将其指定为demux组中的upstream接口或L1的目的接口建立L1反向连接,接口才能UP。建议优先将其指定为demux组中的upstream接口。
对于R6712P02及以上版本,当L1转发源接口(source-interface)和L1转发目的接口(destination-interface)为同一个接口时,该接口不能设置为mux和demux组的upstream-port接口(upstream-port interface-list)。
将接口配置为upstream接口(upstream-port interface-list)与如下配置互斥:
· 配置监控端口(upstream-port interface-list monitportlist interface-list);
· 配置downstream接口(downstream-port interface-list);
· 配置镜像组目的端口(mirroring-group group-id monitor-port interface-type interface-number);
· 配置L1的目的端口(destination-interface interface-type interface-number)。
将接口配置为监控端口(upstream-port interface-list monitportlist interface-list)与如下配置互斥:
· 配置upstream接口(upstream-port interface-list);
· 配置downstream接口(downstream-port interface-list);
· 指定L1转发源接口(source-interface);
· 指定L1转发目的接口(destination-interface);
· 其它upstream接口配置的monitportlist;
· 配置镜像组目的端口(mirroring-group group-id monitor-port interface-type interface-number)。
将接口配置为downstream接口(downstream-port interface-list)与如下配置互斥:
· upstream接口(upstream-port interface-list)
· 配置监控端口(upstream-port interface-list monitportlist interface-list);
· 配置镜像组目的端口(mirroring-group group-id monitor-port interface-type interface-number);
· 配置镜像组源端口(mirroring-group group-id mirroring-port interface-type interface-number)。
(1) 升级FPGA固件为增强安全Mux模式或多分组SecurityMux。
firmware update slot slot-number fpga fpga-number { multi-sec-mux | sec-mux-enhance }
(2) 进入系统视图。
system-view
(3) 创建mux组,并进入mux组视图。
mux mux-id fpga fpga-number
(4) 指定upstream接口。
upstream-port interface-type interface-number [ monitportlist interface-list | redirect-mode mode-number ]
multi-sec-mux模式可以指定1个upstream接口,sec-mux-enhance模式可以指定2个upstream接口。
(5) 指定多个downstream接口。
downstream-port interface-list
sec-mux-enhance模式最多可以指定46个downstream接口。multi-sec-mux模式的情况如下:
¡ mux组ID为1:最多可以配置7个downstream接口。
¡ mux组ID为2:最多可以配置7个downstream接口。
¡ mux组ID为3:最多可以配置13个downstream接口。
¡ mux组ID为4:最多可以配置15个downstream接口。
(1) 进入系统视图。
system-view
(2) 创建demux组,并进入demux组视图。
demux demux-id fpga fpga-number
(3) 指定多个upstream接口。
upstream-port interface-list
sec-mux-enhance模式最多可以指定46个upstream接口。multi-sec-mux模式的情况如下:
¡ demux组ID为1:最多可以配置7个upstream接口。
¡ demux组ID为2:最多可以配置7个upstream接口。
¡ demux组ID为3:最多可以配置13个upstream接口。
¡ demux组ID为4:最多可以配置15个upstream接口。
(4) 指定downstream接口。
downstream-port interface-type interface-number
multi-sec-mux模式可以指定1个downstream接口,sec-mux-enhance模式可以指定2个downstream接口。
本功能可以实现将指定源接口的报文镜像到指定目的接口。在第一片FPGA配置multi-sec-mux模式后,可以配置本功能将mux组所有downstream接口的报文镜像到指定的接口。
本功能和Tapping Aggregation功能的区别在于:
· 仅第一片FPGA配置了multi-sec-mux模式后,才支持配置本功能。而Tapping Aggregation支持在第一片或第二片FPGA上配置。
· 本功能仅支持将mux组所有downstream接口配置为镜像源端口,不支持将demux组的downstream接口、fast-mux组的downstream接口、或通过mirroring-group mirroring-port命令将端口配置为源端口。而Tapping Aggregation支持上述全部的源端口类型。
· 本功能仅支持将源接口的报文镜像到指定目的接口。而Tapping Aggregation不仅支持将源接口的报文镜像到指定目的接口,还支持和重定向模式配合、将镜像汇聚到配置tapping-aggr逻辑的FPGA上内部接口的流量转发到镜像组目的接口。
配置本功能前,请先配置multi-sec-mux模式。关于这部分的配置请参见“1.3.4 配置SecurityMUX”。
将接口配置为镜像组目的端口与如下配置互斥:
· 配置upstream接口(upstream-port interface-list);
· 配置监控端口(upstream-port interface-list monitportlist interface-list);
· 配置downstream接口(downstream-port interface-list);
· 指定L1转发源接口(source-interface);
· 指定L1转发目的接口(destination-interface)。
未指定镜像源时,镜像组目的端口状态不会UP。
本功能生成的镜像汇聚报文不会增加17字节的时间戳信息(TS)和4字节的检验码信息(FCS),与镜像源报文的长度相同。
(1) 进入系统视图。
system-view
(2) 创建本地镜像组。
mirroring-group group-id local fpga fpga-number
fpga-number需要指定为加载multi-sec-mux模式的FPGA编号,取值为0。
(3) 为本地镜像组配置源端口。
mirroring-group group-id mirroring-mux mux-downstream mux-id fpga fpga-number inbound
缺省情况下,未为本地镜像组配置源端口。
本命令可以将mux组所有downstream接口配置为源端口,mux组最多支持42个downstream接口。
(4) 为本地镜像组配置目的端口(请选择其中一项进行配置)。
¡ 在系统视图下配置:
mirroring-group group-id monitor-port interface-type interface-number
缺省情况下,未为本地镜像组配置目的端口。
¡ 在接口视图下配置:
进入接口视图。
interface interface-type interface-number
配置本端口为远程目的镜像组的目的端口。
mirroring-group group-id monitor-port
缺省情况下,未为本地镜像组配置目的端口。
本功能可以实现将指定源接口的报文镜像到指定目的接口。也可以配合重定向模式,将镜像汇聚到配置tapping-aggr逻辑的FPGA上内部接口的流量转发到镜像组目的接口。
如果配合重定向模式,配置本功能前,需要先将fast-mux组或mux组中upstream接口的流量重定向到配置tapping-aggr逻辑的FPGA的内部接口上。关于这部分的配置请参见“1.3.3 配置FastMux”和“1.3.4 配置SecurityMUX”。
1G速率端口作为镜像源端口时,镜像源端口连接的对端设备端口需要工作在自协商模式,否则镜像源端口可能无法UP。
将接口配置为镜像组目的端口与如下配置互斥:
· 配置upstream接口(upstream-port interface-list);
· 配置监控端口(upstream-port interface-list monitportlist interface-list);
· 配置downstream接口(downstream-port interface-list);
· 指定L1转发源接口(source-interface);
· 指定L1转发目的接口(destination-interface);
· 配置镜像组源端口(mirroring-group group-id mirroring-port interface-type interface-number)。
未指定镜像源时,镜像组目的端口状态不会UP。
对于R6712P02及以上版本,配置端口为镜像组源端口之后,该端口不需要配置L1或L1.5连接,即可UP。
(1) 进入系统视图。
system-view
(2) 创建本地镜像组。
mirroring-group group-id local fpga fpga-number
fpga-number需要指定为加载tapping-aggr模式的FPGA编号。
(3) 为本地镜像组配置源端口(请选择其中一项进行配置)。
¡ 在系统视图下配置(请选择其中一项进行配置)
- mirroring-group group-id mirroring-mux { demux-downstream demux-id | fast-mux-downstream fast-mux-id| mux-downstream mux-id } fpga fpga-number inbound
- mirroring-group group-id mirroring-port interface-list inbound
缺省情况下,未为本地镜像组配置源端口。
mirroring-group mirroring-mux配置命令可以将demux组、fast-mux组或mux组所有downstream接口配置为源端口,配置较简便。mirroring-group mirroring-port配置命令可以按端口指定源端口,配置较灵活。
指定源端口为mux组的downstream接口时,mux组最多支持40个downstream接口。
¡ 在接口视图下配置
进入接口视图。
interface interface-type interface-number
配置本端口为远程源镜像组的源端口。
mirroring-group group-id mirroring-port inbound
缺省情况下,未为本地镜像组配置源端口。
(4) 为本地镜像组配置目的端口(请选择其中一项进行配置)。
¡ 在系统视图下配置:
mirroring-group group-id monitor-port interface-list
缺省情况下,未为本地镜像组配置目的端口。
¡ 在接口视图下配置:
进入接口视图。
interface interface-type interface-number
配置本端口为远程目的镜像组的目的端口。
mirroring-group group-id monitor-port
缺省情况下,未为本地镜像组配置目的端口。
流量过滤是指对符合流分类的流进行过滤的动作。例如,可以根据网络的实际情况禁止某些流量通过(黑名单功能)或者允许某些流量通过(白名单功能)。
黑名单功能使用QoS策略,可以采用配置一个CB对(通过classifier behavior命令为类指定流行为)deny特定流量实现。在该功能下,如果配置多个CB对且各个CB对中的ACL规则内容一样或有重叠时,建议只进行deny动作配置,若配置了permit动作,该permit动作不生效。
白名单功能使用两个CB对实现。第一个CB对deny所有流量,第二个CB对允许特定流量通过。在QoS策略中配置CB对时,请先配置deny所有流量的CB对。例如:如果希望mux组或demux组的某个端口只能允许特定流量通过,配置方式为:
(1) 定义高级ACL,例如:
[Sysname] acl advanced 3000
[Sysname-acl-ipv4-adv-3000] rule permit udp source 1.1.1.0 0.0.0.255 destination 2.2.0.0 0.0.255.255 source-port neq 161 destination-port lt 162
(2) 定义CB对,第一个CB对deny所有流量,第二个CB对允许特定流量通过,例如:
[Syaname] traffic classifier c1
[Sysname-classifier-c1] if-match any
[Sysname-classifier-c1] quit
[Sysname] traffic behavior b1
[Sysname-behavior-b1] filter deny
[Sysname-behavior-b1] quit
[Sysname] traffic classifier c2
[Sysname-classifier-c2] if-match acl 3000
[Sysname-classifier-c2] quit
[Sysname] traffic behavior b2
[Sysname-behavior-b2] filter permit
[Sysname-behavior-b2] quit
(3) 配置QoS策略,在策略中指定CB对,需要注意先配置deny所有流量的CB对:
[Sysname] qos policy test
[Sysname-qospolicy-test] classifier c1 behavior b1
[Sysname-qospolicy-test] classifier c2 behavior b2
[Sysname-qospolicy-test] quit
(4) 在接口上应用QoS策略。
[Sysname] interface ten-gigabitethernet 1/0/1
[H3C-Ten-GigabitEthernet1/0/1]qos apply policy test outbound
增强Security MUX模式下,可以在mux组和demux组的upstream接口下发QoS策略进行流量过滤。
多分组SecurityMUX模式下,可以在demux组的upstream接口下发QoS策略进行流量过滤。
流分类仅支持匹配IPv4高级ACL规则,且规则的匹配项可灵活配置五元组(源IP地址、源端口号、目的IP地址、目的端口号、TCP/UDP/IP协议)。
黑名单和白名单功能既支持全局应用QoS策略也支持接口应用QoS策略。
当设备持续存在流量时,如出现以下操作,短时间内通过的报文behavior动作将匹配不正确:
· 先在全局应用QOS策略,后在端口下应用相同QOS策略;
· 先在端口下应用QOS策略,后在全局应用相同QOS策略。
对于R6712P03之前的版本,每个接口最大支持8个ACL规则。需要注意的是,白名单功能中,deny所有流量的规则也占用1条ACL规则。
对于R6712P03及以上版本,每个接口最大支持4个ACL规则。需要注意的是,白名单功能中,deny所有流量的规则也占用1条ACL规则。
本功能和报文过滤功能(在接口或全局应用ACL进行报文过滤)互斥,不支持在设备上同时应用。
(1) 进入系统视图。
system-view
(2) 创建ACL。请至少选择其中一项进行配置。
创建IPv4高级ACL。
¡ 通过编号创建IPv4高级ACL。
acl number acl-number [ name acl-name ] [ match-order config ]
¡ 通过关键字创建IPv4高级ACL。
acl advanced { acl-number | name acl-name } [ match-order config } ]
(3) 为IPv4高级ACL创建规则。
rule [ rule-id ] { deny | permit } protocol [ destination dest-address dest-wildcard | destination-port operator port1 [ port2 ] | source source-address source-wildcard | source-port operator port1 [ port2 ] ]*
(1) 进入系统视图。
system-view
(2) 创建一个类,并进入类视图。
traffic classifier classifier-name [ operator { and | or } ]
(3) 定义匹配数据包的规则。
if-match match-criteria
缺省情况下,未定义匹配数据包的规则。
(4) 退回系统视图。
quit
(1) 进入系统视图。
system-view
(2) 创建一个流行为,并进入流行为视图。
traffic behavior behavior-name
(3) 配置流量过滤动作。
filter { deny | permit }
缺省情况下,未配置流量过滤动作。
如果配置了filter deny命令,对符合流分类的报文执行丢弃动作,该流行为视图下配置的其他流行为都不会生效。
如果配置了filter permit命令,那么受到本动作处理的报文,可以再受到本QoS策略中其他的流分类处理。
(4) 退回系统视图。
quit
(1) 进入系统视图。
system-view
(2) 创建策略并进入策略视图。
qos policy policy-name
(3) 在策略中为类指定采用的流行为。
classifier classifier-name behavior behavior-name
缺省情况下,未指定类对应的流行为。
(4) 退回系统视图。
quit
(1) 进入系统视图。
system-view
(2) 在接口应用或在全局应用QoS策略,请至少选择其中一项进行配置
¡ 进入接口视图,在接口上应用已创建的QoS策略。
interface interface-type interface-number
qos apply policy policy-name outbound
¡ 在全局应用已创建的QoS策略。
qos apply policy policy-name global outbound
缺省情况下,未在接口或全局应用QoS策略。
同时在全局和接口应用QoS策略时,接口的QoS配置优先生效,当接口下未配置时,将采用全局下的配置。
本系列交换机支持的接口类型包括:以太网接口,管理用以太网口,Console口。具体机型支持的接口类型及接口数量可参见产品的安装手册/硬件描述手册。
本章节主要介绍有关管理用以太网口和以太网接口的相关配置及命令。
本系列设备的接口需要在三层模式使用(port link-mode route)。缺省情况下,设备业务接口处于三层模式。请勿将设备业务接口切换为二层模式。
管理用以太网接口一般用来连接后台计算机以进行系统的程序加载、调试等工作,也可以连接远端的网管工作站等设备以实现系统的远程管理。
(1) 进入系统视图。
system-view
(2) 进入管理用以太网口视图。
interface m-gigabitethernet interface-number
(3) (可选)设置当前管理用以太网口的描述信息。
description text
缺省情况下,管理用以太网口的描述信息为M-GigabitEthernet0/0/0 Interface。
(4) (可选)关闭管理用以太网口。
shutdown
缺省情况下,管理用以太网口处于打开状态。
执行本命令会导致使用该接口建立的链路中断,不能通信,请谨慎使用。
本系列交换机的以太网接口均采用3维编号方式:interface type A/B/C。
A:设备固定编号取值为1。
B:设备上的槽位号。取值为0,表示设备上固有接口所在的槽位。
C:某槽位上的端口编号。
(1) 进入系统视图。
system-view
(2) 进入以太网接口视图。
interface interface-type interface-number
(3) (可选)设置当前接口的描述信息。
description text
缺省情况下,接口的描述信息为“接口名 Interface”,例如:Ten-GigabitEthernet1/0/1 Interface。
(4) (可选)开启接口流量统计功能
counter enable
仅R6712P02及以上版本支持本命令。
缺省情况下,设备所有端口均已开启接口流量统计功能。开启接口流量统计功能会消耗PIPE端口统计资源(该资源只有13个),涉及设备带配置重启或回滚操作会导致PIPE资源重新分配,可能导致原来可以统计流量的端口无法统计。
配置如下命令前,接口流量统计功能必须处于开启状态,否则如下命令配置失败:
¡ enhanced-connection destination-interface命令用来在当前接口与指定的目的接口之间建立增强连接关系。
¡ enhanced-connection source-interface命令用来在当前接口与指定的源接口之间建立增强连接关系。
(5) 打开以太网接口。
undo shutdown
同时在全局和接口应用报文过滤时,接口的报文过滤配置优先生效,当接口下未配置时,将采用全局下的配置。
配置黑名单功能时,不支持配置permit模式的规则;在配置白名单功能时,第一条规则必须是rule 0 deny ip,后面只能配置permit模式的规则。
IPv4白名单的配置方式:在同一ACL下配置多条rule,其中第一条规则必须是rule 0 deny ip,后面配置permit模式的规则,然后在流量过滤或报文过滤功能里引用该IPv4 ACL。
通过ACL配置白名单功能后,所有的rule 0 deny ip规则会过滤所有的报文(包括IPv4、IPv6、以及非0x0800类型的报文)。
acl number acl-number [ name acl-name ] [ match-order config ]
acl advanced { acl-number | name acl-name } [ match-order config } ]
rule [ rule-id ] { deny | permit } protocol [ destination dest-address dest-wildcard | destination-port operator port1 [ port2 ] | source source-address source-wildcard | source-port operator port1 [ port2 ] ]*
packet-filter { acl-number | name acl-name } global outbound
interface interface-type interface-number
packet-filter { acl-number | name acl-name } outbound
通过配置本功能,管理员可以按照指定时间间隔对报文进行统计与分析。管理员通过预先查看接口的流量统计,及时采取流量控制的措施,可以避免网络拥塞和业务中断。
· 当用户发现网络有拥塞的情况时,可以将接口统计信息的时间间隔设置为小于300秒(拥塞加剧时,设置为30秒),观察接口在短时间内的流量分布情况。对于导致拥塞的数据报文,采取流量控制措施。
· 当网络带宽充裕,业务运行正常时,可以将接口统计信息的时间间隔设置为大于300秒。一旦发现有流量参数异常的情况,及时修改流量统计时间间隔,便于更实时的观察该流量参数的趋势。
使用本特性可以设置统计以太网接口报文信息的时间间隔。使用display interface命令可以显示端口在该间隔时间内统计的报文信息。
(1) 进入系统视图。
system-view
(2) 进入以太网接口视图。
interface interface-type interface-number
(3) 配置接口统计信息的时间间隔。
flow-interval interval
缺省情况下,接口统计报文信息的时间间隔为300秒。
在完成上述配置后,在任意视图下执行display命令可以显示接口快速转发的配置情况,通过查看显示信息验证配置的效果。
执行display命令可以查看各接口的CRC错误报文的统计情况,具体情况如下:
· 镜像源接口:执行display mirroring-group命令可以查看镜像源接口的CRC错误报文的统计情况。支持显示CRC错误报文的报文数量packets和字节数量bytes,不支持按照报文的类型(单播/组播/广播)和报文字节长度区段显示CRC报文统计的情况。
· L1端口:执行display counters命令查看接口的CRC错误报文统计信息,指定packet-size参数时可以按照报文字节长度区段显示报文统计的情况,不指定packet-size参数时可以查看CRC错误报文的packets和bytes(显示字段为CRC和Err的信息)。不支持按照报文类型(单播/组播/广播)显示CRC错误报文的统计情况。
· mux、demux或fast-mux组的downstream-port (FPGA 0):执行display counters命令查看downstream-port的CRC错误报文统计信息。支持显示CRC错误报文的packets和bytes,但是该信息在显示信息里不会显示为CRC和Err。支持按照报文的类型(单播/组播/广播)和报文字节长度区段显示CRC报文的统计的情况。
· mux或demux组的upstream-port(FPGA 0):执行display counters命令查看upstream-port接口转发出去的CRC错误报文。支持显示CRC错误报文的packets和bytes,但是该信息在显示信息里不会显示为CRC和Err。支持按照报文的类型(单播/组播/广播)和报文字节长度区段显示CRC报文的统计的情况。
· fast-mux组的upstream-port(pipe芯片统计):执行display counters命令查看upstream-port接口转发出去的CRC错误报文。支持显示CRC错误报文的packets和bytes,该信息在显示信息里会显示为CRC和 output errors。不支持按照报文的类型(单播/组播/广播),但是支持按照报文字节长度区段显示CRC报文的统计的情况。
表1-1 接口转发显示和维护
|
操作 |
命令 |
|
显示接口的数据缓冲区使用统计信息 |
display buffer usage interface [ interface-type [ interface-number ] ] |
|
显示接口的流量统计信息 |
display counters { inbound | outbound } [ packet-size ] interface [ interface-type [ interface-number ] ] |
|
显示最近一个统计周期内处于up状态的接口的报文速率统计信息 |
display counters rate { inbound | outbound } interface [ interface-type [ interface-number ] ] |
|
显示接口的运行状态和相关信息 |
display interface [ interface-type [ interface-number ] ] [ brief [ description | down ] ] |
|
显示接口连接信息 |
display interface [ interface-type interface-number ] connection [ source | destination ] 仅R6712P02及以上版本支持source和destination参数 |
|
显示互为源和目的接口连接信息 |
display interface connection pathed 仅R6712P02及以上版本支持本命令 |
|
显示接口统计功能状态信息 |
display interface counter status 仅R6712P02及以上版本支持本命令 |
|
显示接口的光模块和源接口信息 |
display interface transceiver |
|
显示fast-mux、mux、demux组的信息 |
display mux [ mode { fast-mux | mux | demux } [ mux-id fpga fpga-number ] ] |
|
显示镜像组的信息 |
display mirroring-group { group-id [ interface interface-type interface-number ] | all | local } 仅R6712P02及以上版本支持interface interface-type interface-number参数 |
|
显示接口丢弃的报文的信息 |
display packet-drop { interface [ interface-type [ interface-number ] ] | summary } |
|
显示ACL在报文过滤中的应用情况 |
display packet-filter { global | interface [ interface-type interface-number ] } [ outbound ] 仅R6712P03及以上版本支持本命令 |
|
显示ACL在报文过滤中的详细应用情况 |
display packet-filter verbose { global | interface interface-type interface-number } outbound [ { acl-number | name acl-name } ] 仅R6712P03及以上版本支持本命令 |
|
显示全局应用的QoS策略 |
display qos policy global [ outbound ] |
|
显示接口应用的QoS策略 |
display qos policy interface [ interface-type interface-number ] [ outbound ] |
如图1-7所示,通过L1以太网交换机实现以下功能:
· 1:1单向接口快速转发:XGE1/0/1作为源接口,XGE1/0/2作为目的接口,XGE1/0/1收到报文时仅向XGE1/0/2转发。
· 1:1双向接口快速转发:XGE1/0/3和XGE1/0/4互为源接口和目的接口,XGE1/0/3收到报文时向XGE1/0/4转发,XGE1/0/4收到报文时向XGE1/0/3转发。
· 1:N单向接口快速转发:XGE1/0/5作为源接口,XGE1/0/6~XGE1/0/8作为目的接口,形成1:N转发关系。XGE1/05收到报文时向XGE1/0/6~XGE1/0/8分别转发一份报文。
图1-7 L1以太网交换机配置组网图
配置L1交换机
# 在接口XGE1/0/2上指定转发报文的源接口为XGE1/0/1;或者在接口XGE1/0/1上指定转发报文的目的接口为XGE1/0/2(两种配置方法选择一种即可)。
<L1> system-view
[L1] interface Ten-Ten-GigabitEthernet 1/0/2
[L1-Ten-Ten-GigabitEthernet1/0/2] source-interface Ten-Ten-GigabitEthernet 1/0/1
[L1-Ten-GigabitEthernet1/0/2] quit
[L1] interface Ten-GigabitEthernet 1/0/1
[L1-Ten-GigabitEthernet1/0/1] destination-interface Ten-GigabitEthernet 1/0/2
[L1-Ten-GigabitEthernet1/0/1] quit
配置L1交换机
# 连接一对指定接口XGE1/03和XGE1/0/4。
<L1> system-view
[L1] connection-interface Ten-GigabitEthernet 1/0/3 Ten-GigabitEthernet 1/0/4
配置L1交换机
# 在接口XGE1/0/5上指定转发报文的目的接口为XGE1/0/6~XGE1/0/8。
<L1> system-view
[L1] interface Ten-GigabitEthernet 1/0/5
[L1-Ten-GigabitEthernet1/0/5] destination-interface Ten-GigabitEthernet 1/0/6 to Ten-GigabitEthernet 1/0/8
[L1-Ten-GigabitEthernet1/0/5] quit
# 显示接口互连信息,可以看出各个接口间的连接关系。
[L1] display interface connection
Connection(s):
XGE1/0/1 --> XGE1/0/2
XGE1/0/2 <-- XGE1/0/1
XGE1/0/3 <-> XGE1/0/4
XGE1/0/4 <-> XGE1/0/3
XGE1/0/5 --> XGE1/0/6
--> XGE1/0/7
--> XGE1/0/8
XGE1/0/6 <-- XGE1/0/5
XGE1/0/7 <-- XGE1/0/5
XGE1/0/8 <-- XGE1/0/5
如图1-8所示,在L1.5以太网交换机上部署Fastmux组,实现N:1报文转发功能。其中,XGE1/0/1作为upstream接口,XGE1/0/2~XGE1/0/4作为downstream接口,多个downstream接口收到的报文汇总到一个upstream接口转发。
图1-8 L1.5以太网交换机FastMux配置组网图
配置L1.5交换机
# 创建fast-mux组,并进入fast-mux组视图。
<L1.5> system-view
[L1.5] fast-mux 1 type 1 fpga 0
# 为fast-mux组添加upstream接口。
[L1.5-fast-mux-group-1-fpga-0] upstream-port Ten-GigabitEthernet 1/0/1
# 为fast-mux组添加downstream接口。
[L1.5-fast-mux-group-1-fpga-0] downstream-port Ten-GigabitEthernet 1/0/2 to Ten-GigabitEthernet 1/0/4
[L1.5-fast-mux-group-1-fpga-0] quit
# 配置L1反向连接。
[L1.5]interface range Ten-GigabitEthernet 1/0/2 to Ten-GigabitEthernet 1/0/4
[L1.5-if-range] source-interface Ten-GigabitEthernet 1/0/1
[L1.5-if-range] quit
# 显示fast-mux组的信息。
[L1.5] display mux mode fast-mux
Fast multiplex group 1 fpga 0 (7:1):
Upstream interface: Ten-GigabitEthernet1/0/1
Active Downstream interfaces: Ten-GigabitEthernet1/0/2 to Ten-GigabitEthernet1/0/4
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
