- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-接口转发配置
本章节下载: 01-接口转发配置 (398.44 KB)
超低时延交换机S6216-G系列主要包括以太网交换机S6216-48X-G,该交换机既支持L1.5以太网交换机的所有功能,也支持L2/L3转发。当设备的FPGA模式为switch时,本设备支持传统二、三层转发及相关协议。当设备的FPGA模式不是switch时,本设备会根据用户的配置对报文做快速转发和复制,此时设备业务口不支持传统二、三层转发及相关协议。缺省情况下,设备的FPGA模式为switch。
L1.5以太网交换机支持的FPGA应用程序如下:
· 增强Security MUX:支持一个Mux分组且组内支持配置两个upstream接口,上行最多支持46:2复用功能,下行最多支持2:46解复用,并支持在上行或下行流量的出端口配置ACL控制报文转发。
· 多分组SecurityMUX:支持四个Mux组与demux组,且Mux组内支持配置一个upstream接口,分别实现上行7:1、7:1、13:1,15:1复用功能,和下行1:7、1:7、1:13、1:15解复用功能,并支持在下行流量的出端口配置ACL控制报文转发。支持2个端口用来做监控口,用来监控MUX组的流量。
· LargeBuffer:支持六个Mux组,最大支持8个物理端口作为downstream接口,并且一个downstream接口可配置在不同Mux组中。例如:Mux组1中配置了接口编号1~8的端口作为downstream接口后,Mux组2~6中不可以配置其他接口编号的物理端口作为downstream接口,但仍然可以在接口编号1~8的范围内选择任意数量的端口配置为本Mux组内的downstream接口。upstream接口仅受实际物理端口数量限制,实现47:1至40:8的灵活搭配。
· Tapping Aggregation:支持将入方向流量镜像到其他端口,同时支持镜像监控出口负载分担功能,可以支持配置4个镜像监控出口,对镜像流量进行负载分担。
增强SecurityMux是为了数据的安全转发而设计的APP。上行流量基于FPGA实现最大46:2复用,由FPGA实现调度功能,下行流量基于FPGA实现解复用。上行或下行流量的出端口支持配置ACL控制报文转发。
多分组SecurityMux实现原理与SecurityMux相同,是为了数据的安全转发而设计的APP。支持四个Mux分组,上行流量基于FPGA分别实现7:1、7:1、13:1,15:1复用功能,下行流量基于FPGA实现1:7、1:7、1:13、1:15解复用功能。下行流量的出端口支持配置ACL控制报文转发。支持2个端口用来做监控口,用来监控MUX组的流量。
LargeBuffer是为了增加buffer大小设计的APP。支持六个Mux分组,且组内最大支持配置8个downstream接口,upstream接口仅受实际物理端口数量限制,实现47:1至40:8的灵活搭配。同时软件设计灵活,一个downstream接口可配置在不同Mux组中,可根据需求进行动态调整端口所属的分组。
Tapping Aggregation是为了支持数据镜像而设计的APP,该功能将1个或多个端口的报文数据镜像和打时间戳,并汇聚为最多4个监控口对数据流进行转发、备份。多个监控口之间支持负载分担。
镜像汇聚后的报文格式相对于原始报文,报文末尾增加了17字节的时间戳信息(TS)和4字节的检验码信息(FCS)。
如果原始报文长度超过1518字节,则镜像汇聚报文截取前1518字节部分然后添加时间戳信息和校验码。
时间戳报文格式如图1-3所示,时间戳共17字节,包括完整的CF域格式的时间戳和报文信息。
各个字段的解释如下:
· Device_id :4个字节,表示设备ID。
· 仅支持读取管理用以太网口的主IPv4地址作为Device_id,不支持读取IPv4从地址。
· 当管理用以太网口只配置了IPv4从地址时,Device_id为0。
· Flag:1个字节,各比特位含义如下:
¡ [7:4]:Reserved,表示保留位,固定为0;
¡ [3]:Syn_lost,为1表示本地时钟,为0表示同步时钟;
如下几种情况为时钟同步:
· 当设备外部时钟输入源为GPS/1PPS时,时钟源锁定,认为时钟同步;
· 当设备外部时钟输入源为SyncE时,时钟源锁定且PTP收敛后,认为时钟同步;
· 当设备没有外部时钟输入源只使用PTP功能时,PTP收敛后,认为时钟同步。
¡ [2]:Trunk_frame,为1表示报文长度超过1518字节(原始报文长度,包括FCS),为0表示报文长度未超过1518字节;
¡ [1]:Reserved,表示保留位,固定为0;
¡ [0]:Normal,为1表示正常报文,为0表示异常报文(例如报文出现CRC错误)。
· Port_id:1个字节,表示接收被镜像报文的设备面板上的端口编号。例如2表示被镜像报文是面板上编号为2的端口接收的。
· Reserved:1个字节,保留使用,各位均为0。
· CorrectionField:10个字节,表示扩充后的CF域。
FPGA将1588v2标准定义的64 bit的CF域扩充到了80 bit以便表示更大的时间范围。CF域数据的计算方式不变,即自1970年1月1日(00:00:00 GMT)起至设备时间的总纳秒数乘以216。
从CF域数据转换到时间戳格式的方法如下(ps:皮秒;ns:纳秒;s:秒):
· ps = CorrectionField[15:0] * 1000 / 216,简化计算时可以直接取CorrectionField[15:6]作为ps值;
· ns = CorrectionField[79:16] % 1000000000,即除以10亿取余;
· s = CorrectionField[79:16] / 1000000000,即除以10亿取整。
计算所得的总秒数,指的是格林威治时间自1970年1月1日(00:00:00 GMT)至当前时间的总秒数。
配置L1.5以太网交换机特性前,需要将设备的FPGA模式切换为非switch模式:
· 缺省情况下,设备的FPGA模式为switch模式,在该模式下,设备不支持L1.5相关特性。
· 将设备的FPGA模式从switch模式切换为其他模式,或者从其他模式切换为switch模式后,需要重启设备新模式才能生效,并且新模式下设备不支持的功能无法正常使用。
· 将设备的FPGA模式从非switch模式切换为其他非switch模式,无需重启设备新模式即可生效。
关于FPGA模式的详细介绍,请参见配置FPGA模式。
在任意视图下执行display version命令,其中显示信息字段FPGA 0 Mode是设备当前的FPGA模式。关于display version命令的详细介绍,请参见“基础命令参考”中的“设备管理”。
增强SecurityMUX、多分组SecurityMux模式下,mux组与demux组内的端口不支持1G速率模块;仅Tapping Aggregation模式支持1G速率模块。
SFP+接口使用1G速率模块时支持自适应,不需要使用speed命令配置速率。
SFP+接口使用1G速率模块时:
· 建立单向连接时,需要对端设备开启全双工模式端口才能UP。
· 如果该端口作为Tapping Aggregation模式的镜像组源端口或目的端口,则需要本端口和对端设备端口都开启全双工模式。
L1.5以太网交换机通过FPGA实现增强SecurityMUX、多分组SecurityMux和Tapping Aggregation功能,因此在使用不同的功能时,需要将FPGA升级到不同的模式。当前支持的FPGA模式包括如下几种:
· sec-mux-enhance:增强SecurityMUX模式,该模式下支持管理员在设备上配置mux组与demux组,mux组支持配置2个upstream接口。
· switch:交换转发模式,此模式下设备不支持L1.5相关功能。
· multi-sec-mux:多分组SecurityMux模式,该模式下支持管理员在设备上配置四个mux组与demux组,mux组支持配置1个upstream接口。
· largebufflex-mux:LargeBuffer模式。该模式下支持配置六个Mux组,组内最大支持配置8个downstream接口。
· tapping-aggr:镜像汇聚模式,支持将流量镜像到配置tapping-aggr逻辑的FPGA上进行流量的镜像监控和打时间戳,并从指定的面板监控口将报文转发出去。
配置FPGA模式前,请先删除该模式下的mux组、demux组、镜像汇聚组的monitor-port、已应用的QoS策略配置,否则设备会提示“Operation failed”,切换FPGA模式失败。
将设备从switch模式切换为其他模式,或者从其他模式切换为switch模式后,需要重启设备新模式才能生效。重启后,设备在新模式下不支持的配置无法正常使用。
将设备的FPGA模式从非switch模式切换为其他非switch模式,无需重启设备新模式即可生效。
(1) 升级FPGA固件模式。
firmware update slot slot-number fpga fpga-number { multi-sec-mux | sec-mux-enhance | switch | tapping-aggr }
mux组与demux组配合使用,mux组用于处理上行流量,demux组用于处理下行流量:
· 通过mux组可以实现超低时延的快速转发。向mux组中添加upstream接口和downstream接口,多个downstream接口收到的报文汇总到upstream接口转发。
· 通过demux组可以实现超低时延的快速转发。向demux组中添加upstream接口和downstream接口,downstream接口收到的报文可以分发到所有upstream接口转发。
upstream接口的监控功能主要用于将upstream接口的流量复制到监控接口,重定向功能仅支持模式0,表示转发到upstream接口并复制到monitportlist接口,且这些接口使用同一片FPGA的逻辑。
创建demux组前需先创建mux组并配置upstream接口和downstream接口,否则创建失败。
修改mux组前需先删除设备中存在的demux组;删除mux组会同步删除设备中存在的demux组。
mux组中的upstream接口对应demux组中的downstream接口;mux组中的downstream接口对应demux组中的upstream接口。
将接口配置为upstream接口(upstream-port interface-list)与如下配置互斥:
· 配置监控端口(upstream-port interface-list monitportlist interface-list)。
· 配置downstream接口(downstream-port interface-list)。
· 配置镜像组目的端口(接口视图下配置mirroring-group group-id monitor-port或系统视图下配置mirroring-group group-id monitor-port interface-list时指定本端口)。
将接口配置为监控端口(upstream-port interface-list monitportlist interface-list)与如下配置互斥:
· 配置upstream接口(upstream-port interface-list)。
· 配置downstream接口(downstream-port interface-list)。
· 其它upstream接口配置的monitportlist。
· 配置镜像组目的端口(接口视图下配置mirroring-group group-id monitor-port或系统视图下配置mirroring-group group-id monitor-port interface-list时指定本端口)。
将接口配置为downstream接口(downstream-port interface-list)与如下配置互斥:
· upstream接口(upstream-port interface-list)
· 配置监控端口(upstream-port interface-list monitportlist interface-list)。
· 配置镜像组目的端口(接口视图下配置mirroring-group group-id monitor-port或系统视图下配置mirroring-group group-id monitor-port interface-list时指定本端口)。
· 配置镜像组源端口(mirroring-group group-id mirroring-port interface-type interface-number)。
(1) 升级FPGA固件为增强安全Mux模式或多分组SecurityMux模式。
firmware update slot slot-number fpga fpga-number { multi-sec-mux | sec-mux-enhance }
(2) 进入系统视图。
system-view
(3) 创建mux组,并进入mux组视图。
mux mux-id fpga fpga-number
对于sec-mux-enhance模式,支持创建1个编号为1的mux组。对于multi-sec-mux模式,支持创建4个mux组,取值范围为1~4。
(4) 指定upstream接口。
upstream-port interface-type interface-number [ monitportlist interface-list | redirect-mode mode-number ]
multi-sec-mux模式可以指定1个upstream接口,sec-mux-enhance模式可以指定2个upstream接口。
(5) 指定多个downstream接口。
downstream-port interface-list
sec-mux-enhance模式最多可以指定46个downstream接口。multi-sec-mux模式的情况如下:
¡ mux组ID为1:最多可以配置7个downstream接口。
¡ mux组ID为2:最多可以配置7个downstream接口。
¡ mux组ID为3:最多可以配置13个downstream接口。
¡ mux组ID为4:最多可以配置15个downstream接口。
(1) 进入系统视图。
system-view
(2) 创建demux组,并进入demux组视图。
demux demux-id fpga fpga-number
(3) 指定多个upstream接口。
upstream-port interface-list
sec-mux-enhance模式最多可以指定46个upstream接口。multi-sec-mux模式的情况如下:
¡ demux组ID为1:最多可以配置7个upstream接口。
¡ demux组ID为2:最多可以配置7个upstream接口。
¡ demux组ID为3:最多可以配置13个upstream接口。
¡ demux组ID为4:最多可以配置15个upstream接口。
(4) 指定downstream接口。
downstream-port interface-type interface-number
multi-sec-mux模式可以指定1个downstream接口,sec-mux-enhance模式可以指定2个downstream接口。
本功能可以实现将指定源接口的报文镜像到指定目的接口。配置multi-sec-mux模式后,可以配置本功能将mux组所有downstream接口的报文镜像到指定的接口。
本功能和Tapping Aggregation功能的区别在于:本功能仅支持将mux组所有downstream接口配置为镜像源端口,不支持将demux组的downstream接口、或通过mirroring-group mirroring-port命令将端口配置为源端口。而Tapping Aggregation支持上述全部的源端口类型。
配置本功能前,请先配置multi-sec-mux模式。关于这部分的配置请参见“配置SecurityMUX”。
将接口配置为镜像组目的端口与如下配置互斥:
· 配置upstream接口(upstream-port interface-list)。
· 配置监控端口(upstream-port interface-list monitportlist interface-list)。
· 配置downstream接口(downstream-port interface-list)。
未指定镜像源时,镜像组目的端口状态不会UP。
本功能生成的镜像汇聚报文不会增加17字节的时间戳信息(TS)和4字节的检验码信息(FCS),与镜像源报文的长度相同。
(1) 进入系统视图。
system-view
(2) 创建本地镜像组。
mirroring-group group-id local fpga fpga-number
fpga-number需要指定为加载multi-sec-mux模式的FPGA编号,取值为0。
(3) 为本地镜像组配置源端口。
mirroring-group group-id mirroring-mux mux-downstream mux-id fpga fpga-number inbound
缺省情况下,未为本地镜像组配置源端口。
本命令可以将mux组所有downstream接口配置为源端口,mux组最多支持42个downstream接口。
(4) 为本地镜像组配置目的端口(请选择其中一项进行配置)。
¡ 在系统视图下配置:
mirroring-group group-id monitor-port interface-list
缺省情况下,未为本地镜像组配置目的端口。
一次或多次执行本命令可以配置多个镜像组目的接口,设备最多支持配置4个镜像目的端口。
¡ 在接口视图下配置:
进入接口视图。
interface interface-type interface-number
配置本端口为远程目的镜像组的目的端口。
mirroring-group group-id monitor-port
缺省情况下,未为本地镜像组配置目的端口。
通过mux组可以实现超低时延的快速转发。向mux组中添加upstream接口和downstream接口,多个downstream接口收到的报文汇总到upstream接口转发。
本模式下不支持如下功能:
· 将upstream接口配置为监控端口和重定向
· 配置QoS和ACL流量过滤
· 显示接口丢弃的报文的信息(display packet-drop)
· 显示接口的数据缓冲区使用统计信息(display buffer usage interface)
同一个downstream接口可以配置在不同Mux组中,设备最大支持8个物理端口作为downstream接口。
(1) 升级FPGA固件为LargeBuffer模式。
firmware update slot slot-number fpga fpga-number largebufflex-mux
(2) 进入系统视图。
system-view
(3) 创建mux组,并进入mux组视图。
mux mux-id fpga fpga-number
(4) 指定upstream接口。
upstream-port interface-list
(5) 指定downstream接口。
downstream-port interface-list
本模式最多可以指定8个downstream接口。
本功能可以实现将指定源接口的报文镜像到指定目的接口。
1G速率端口作为镜像源端口时,镜像源端口连接的对端设备端口需要工作在自协商模式,否则镜像源端口可能无法UP。
将接口配置为镜像组目的端口与如下配置互斥:
· 配置upstream接口(upstream-port interface-list)。
· 配置监控端口(upstream-port interface-list monitportlist interface-list)。
· 配置downstream接口(downstream-port interface-list)。
· 配置镜像组源端口(mirroring-group group-id mirroring-port interface-type interface-number)。
未指定镜像源时,镜像组目的端口状态不会UP。
配置端口为镜像组源端口之后,该端口不需要配置L1.5连接,即可UP。
(1) 进入系统视图。
system-view
(2) 创建本地镜像组。
mirroring-group group-id local fpga fpga-number
fpga-number需要指定为加载tapping-aggr模式的FPGA编号。
(3) 为本地镜像组配置源端口(请选择其中一项进行配置)。
¡ 在系统视图下配置(请选择其中一项进行配置)
- mirroring-group group-id mirroring-mux { demux-downstream demux-id | mux-downstream mux-id } fpga fpga-number inbound
- mirroring-group group-id mirroring-port interface-list inbound
缺省情况下,未为本地镜像组配置源端口。
mirroring-group mirroring-mux配置命令可以将demux组或mux组所有downstream接口配置为源端口,配置较简便。mirroring-group mirroring-port配置命令可以按端口指定源端口,配置较灵活。
指定源端口为mux组的downstream接口时,mux组最多支持40个downstream接口。
¡ 在接口视图下配置
进入接口视图。
interface interface-type interface-number
配置本端口为远程源镜像组的源端口。
mirroring-group group-id mirroring-port inbound
缺省情况下,未为本地镜像组配置源端口。
(4) 为本地镜像组配置目的端口(请选择其中一项进行配置)。
¡ 在系统视图下配置:
mirroring-group group-id monitor-port interface-list
缺省情况下,未为本地镜像组配置目的端口。
一次或多次执行本命令可以配置多个镜像组目的接口,设备最多支持配置4个镜像目的端口。
¡ 在接口视图下配置:
进入接口视图。
interface interface-type interface-number
配置本端口为远程目的镜像组的目的端口。
mirroring-group group-id monitor-port
缺省情况下,未为本地镜像组配置目的端口。
流量过滤是指对符合流分类的流进行过滤的动作。例如,可以根据网络的实际情况禁止某些流量通过(黑名单功能)或者允许某些流量通过(白名单功能)。
黑名单功能使用QoS策略,可以采用配置一个CB对(通过classifier behavior命令为类指定流行为)deny特定流量实现。在该功能下,如果配置多个CB对且各个CB对中的ACL规则内容一样或有重叠时,建议只进行deny动作配置,若配置了permit动作,该permit动作不生效。
白名单功能使用两个CB对实现。第一个CB对deny所有流量,第二个CB对允许特定流量通过。在QoS策略中配置CB对时,请先配置deny所有流量的CB对。例如:如果希望mux组或demux组的某个端口只能允许特定流量通过,配置方式为:
(1) 定义高级ACL,例如:
[Sysname] acl advanced 3000
[Sysname-acl-ipv4-adv-3000] rule permit udp source 1.1.1.0 0.0.0.255 destination 2.2.0.0 0.0.255.255 source-port neq 161 destination-port lt 162
(2) 定义CB对,第一个CB对deny所有流量,第二个CB对允许特定流量通过,例如:
[Syaname] traffic classifier c1
[Sysname-classifier-c1] if-match any
[Sysname-classifier-c1] quit
[Sysname] traffic behavior b1
[Sysname-behavior-b1] filter deny
[Sysname-behavior-b1] quit
[Sysname] traffic classifier c2
[Sysname-classifier-c2] if-match acl 3000
[Sysname-classifier-c2] quit
[Sysname] traffic behavior b2
[Sysname-behavior-b2] filter permit
[Sysname-behavior-b2] quit
(3) 配置QoS策略,在策略中指定CB对,需要注意先配置deny所有流量的CB对:
[Sysname] qos policy test
[Sysname-qospolicy-test] classifier c1 behavior b1
[Sysname-qospolicy-test] classifier c2 behavior b2
[Sysname-qospolicy-test] quit
(4) 在接口上应用QoS策略。
[Sysname] interface ten-gigabitethernet 1/0/1
[H3C-Ten-GigabitEthernet1/0/1]qos apply policy test outbound
增强Security MUX模式下,可以在mux组和demux组的upstream接口下发QoS策略进行流量过滤。
多分组SecurityMUX模式下,可以在demux组的upstream接口下发QoS策略进行流量过滤。
本节命令适用于非switch模式下配置。有关switch模式下的相关配置,请参见“ACL和QoS配置指导”中的“ACL和QoS”。
流分类仅支持匹配IPv4高级ACL规则,且规则的匹配项可灵活配置五元组(源IP地址、源端口号、目的IP地址、目的端口号、TCP/UDP/IP协议)。
白名单功能中,deny所有流量的配置对如下报文生效:
· 0x0800:IP报文
· 0x8100+0x800:以太网帧+IP报文
黑名单和白名单功能既支持全局应用QoS策略也支持接口应用QoS策略。
当设备持续存在流量时,如出现以下操作,短时间内通过的报文behavior动作将匹配不正确:
· 先在全局应用QOS策略,后在端口下应用相同QOS策略;
· 先在端口下应用QOS策略,后在全局应用相同QOS策略。
每个接口最大支持4条ACL规则。需要注意的是,白名单功能中,deny所有流量的规则也占用1条ACL规则。
(1) 进入系统视图。
system-view
(2) 创建ACL。创建IPv4高级ACL。
¡ 通过编号创建IPv4高级ACL。
acl number acl-number [ name acl-name ] [ match-order { auto | config } ]
¡ 通过关键字创建IPv4高级ACL。
acl advanced { acl-number | name acl-name } [ match-order { auto | config } ]
(3) 为IPv4高级ACL创建规则。
rule [ rule-id ] { deny | permit } protocol [ destination dest-address dest-wildcard | destination-port operator port1 [ port2 ] | source source-address source-wildcard | source-port operator port1 [ port2 ] ]*
(1) 进入系统视图。
system-view
(2) 创建一个类,并进入类视图。
traffic classifier classifier-name [ operator { and | or } ]
(3) 定义匹配数据包的规则。
if-match match-criteria
缺省情况下,未定义匹配数据包的规则。
(4) 退回系统视图。
quit
(1) 进入系统视图。
system-view
(2) 创建一个流行为,并进入流行为视图。
traffic behavior behavior-name
(3) 配置流量过滤动作。
filter { deny | permit }
缺省情况下,未配置流量过滤动作。
如果配置了filter deny命令,对符合流分类的报文执行丢弃动作,该流行为视图下配置的其他流行为都不会生效。
如果配置了filter permit命令,那么受到本动作处理的报文,可以再受到本QoS策略中其他的流分类处理。
(4) 退回系统视图。
quit
(1) 进入系统视图。
system-view
(2) 创建策略并进入策略视图。
qos policy policy-name
(3) 在策略中为类指定采用的流行为。
classifier classifier-name behavior behavior-name
缺省情况下,未指定类对应的流行为。
(4) 退回系统视图。
quit
(1) 进入系统视图。
system-view
(2) 在接口应用或在全局应用QoS策略,请至少选择其中一项进行配置
¡ 进入接口视图,在接口上应用已创建的QoS策略。
interface interface-type interface-number
qos apply policy policy-name outbound
¡ 在全局应用已创建的QoS策略。
qos apply policy policy-name global outbound
缺省情况下,未在接口或全局应用QoS策略。
同时在全局和接口应用QoS策略时,接口的QoS配置优先生效,当接口下未配置时,将采用全局下的配置。
本系列交换机支持的接口类型包括:以太网接口,管理用以太网口,Console口。具体机型支持的接口类型及接口数量可参见产品的安装手册/硬件描述手册。
本章节主要介绍有关管理用以太网口和以太网接口的相关配置及命令。
本系列设备的接口需要在三层模式使用(port link-mode route)。缺省情况下,设备业务接口处于三层模式。请勿将设备业务接口切换为二层模式。
管理用以太网接口一般用来连接后台计算机以进行系统的程序加载、调试等工作,也可以连接远端的网管工作站等设备以实现系统的远程管理。
(1) 进入系统视图。
system-view
(2) 进入管理用以太网口视图。
interface m-gigabitethernet interface-number
(3) (可选)设置当前管理用以太网口的描述信息。
description text
缺省情况下,管理用以太网口的描述信息为M-GigabitEthernet0/0/0 Interface。
(4) (可选)关闭管理用以太网口。
shutdown
缺省情况下,管理用以太网口处于打开状态。
执行本命令会导致使用该接口建立的链路中断,不能通信,请谨慎使用。
本系列交换机的以太网接口均采用3维编号方式:interface type A/B/C。
A:设备固定编号取值为1。
B:设备上的槽位号。取值为0,表示设备上固有接口所在的槽位。
C:某槽位上的端口编号。
(1) 进入系统视图。
system-view
(2) 进入以太网接口视图。
interface interface-type interface-number
(3) (可选)设置当前接口的描述信息。
description text
缺省情况下,接口的描述信息为“接口名 Interface”,例如:Ten-GigabitEthernet1/0/1 Interface。
(4) (可选)开启接口流量统计功能
counter enable
缺省情况下,设备所有端口均已开启接口流量统计功能。开启接口流量统计功能会消耗PIPE端口统计资源(该资源只有13个),涉及设备带配置重启或回滚操作会导致PIPE资源重新分配,可能导致原来可以统计流量的端口无法统计。
(5) 打开以太网接口。
undo shutdown
本节命令适用于非switch模式下配置。有关switch模式下的相关配置,请参见“ACL和QoS配置指导”中的“ACL和QoS”。
增强Security MUX模式下,可以在mux组和demux组的upstream接口下发ACL进行报文过滤。
多分组SecurityMUX模式下,可以在demux组的upstream接口下发ACL进行报文过滤。
一个接口在一个出方向上最多可应用4个ACL进行报文过滤。
同时在全局和接口应用报文过滤时,接口的报文过滤配置优先生效,当接口下未配置时,将采用全局下的配置。
本功能和流量过滤功能互斥,不支持在设备上同时应用。
配置黑名单功能时,不支持配置permit模式的规则;在配置白名单功能时,第一条规则必须是rule 0 deny ip,后面只能配置permit模式的规则。
IPv4白名单的配置方式:在同一ACL下配置多条rule,其中第一条规则必须是rule 0 deny ip,后面配置permit模式的规则,然后在流量过滤或报文过滤功能里引用该IPv4 ACL。
通过ACL配置白名单功能后,所有的rule 0 deny ip规则会过滤所有的报文(包括IPv4、IPv6、以及非0x0800类型的报文)。
(1) 进入系统视图。
system-view
(2) 创建ACL。请至少选择其中一项进行配置。
创建IPv4高级ACL。
¡ 通过编号创建IPv4高级ACL。
acl number acl-number [ name acl-name ] [ match-order config ]
¡ 通过关键字创建IPv4高级ACL。
acl advanced { acl-number | name acl-name } [ match-order config } ]
(3) 为IPv4高级ACL创建规则。
rule [ rule-id ] { deny | permit } protocol [ destination dest-address dest-wildcard | destination-port operator port1 [ port2 ] | source source-address source-wildcard | source-port operator port1 [ port2 ] ]*
只能选择其中一项进行配置。
¡ 全局应用ACL进行报文过滤
进入系统视图。
system-view
全局应用ACL进行报文过滤。
packet-filter { acl-number | name acl-name } global outbound
缺省情况下,未配置全局的报文过滤。
¡ 在接口上应用ACL进行报文过滤
进入系统视图。
system-view
进入接口视图。
interface interface-type interface-number
在接口上应用ACL进行报文过滤。
packet-filter { acl-number | name acl-name } outbound
缺省情况下,未配置接口的报文过滤。
通过配置本功能,管理员可以按照指定时间间隔对报文进行统计与分析。管理员通过预先查看接口的流量统计,及时采取流量控制的措施,可以避免网络拥塞和业务中断。
· 当用户发现网络有拥塞的情况时,可以将接口统计信息的时间间隔设置为小于300秒(拥塞加剧时,设置为30秒),观察接口在短时间内的流量分布情况。对于导致拥塞的数据报文,采取流量控制措施。
· 当网络带宽充裕,业务运行正常时,可以将接口统计信息的时间间隔设置为大于300秒。一旦发现有流量参数异常的情况,及时修改流量统计时间间隔,便于更实时的观察该流量参数的趋势。
使用本特性可以设置统计以太网接口报文信息的时间间隔。使用display interface命令可以显示端口在该间隔时间内统计的报文信息。
(1) 进入系统视图。
system-view
(2) 进入以太网接口视图。
interface interface-type interface-number
(3) 配置接口统计信息的时间间隔。
flow-interval interval
缺省情况下,接口统计报文信息的时间间隔为300秒。
在完成上述配置后,在任意视图下执行display命令可以显示接口快速转发的配置情况,通过查看显示信息验证配置的效果。
执行display命令可以查看各接口的CRC错误报文的统计情况,具体情况如下:
· 镜像源接口:执行display mirroring-group命令可以查看镜像源接口的CRC错误报文的统计情况。支持显示CRC错误报文的报文数量packets和字节数量bytes,不支持按照报文的类型(单播/组播/广播)和报文字节长度区段显示CRC报文统计的情况。
· mux或demux组的downstream-port (FPGA 0):执行display counters命令查看downstream-port的CRC错误报文统计信息。支持显示CRC错误报文的packets和bytes,但是该信息在显示信息里不会显示为CRC和Err。支持按照报文的类型(单播/组播/广播)和报文字节长度区段显示CRC报文的统计的情况。
· mux或demux组的upstream-port(FPGA 0):执行display counters命令查看upstream-port接口转发出去的CRC错误报文。支持显示CRC错误报文的packets和bytes,但是该信息在显示信息里不会显示为CRC和Err。支持按照报文的类型(单播/组播/广播)和报文字节长度区段显示CRC报文的统计的情况。
表1-1 接口转发显示和维护
|
操作 |
命令 |
|
显示接口的数据缓冲区使用统计信息 |
display buffer usage interface [ interface-type [ interface-number ] ] |
|
显示接口的流量统计信息 |
display counters { inbound | outbound } [ packet-size ] interface [ interface-type [ interface-number ] ] |
|
显示最近一个统计周期内处于up状态的接口的报文速率统计信息 |
display counters rate { inbound | outbound } interface [ interface-type [ interface-number ] ] |
|
显示接口的运行状态和相关信息 |
display interface [ interface-type [ interface-number ] ] [ brief [ description | down ] ] |
|
显示接口统计功能状态信息 |
display interface counter status |
|
显示mux、demux组的信息 |
display mux [ mux | demux } [ mux-id fpga fpga-number ] ] |
|
显示镜像组的信息 |
display mirroring-group { group-id [ interface interface-type interface-number ] | all | local } |
|
显示接口丢弃的报文的信息 |
display packet-drop { interface [ interface-type [ interface-number ] ] | summary } |
|
显示ACL在报文过滤中的应用情况 |
display packet-filter { global | interface [ interface-type interface-number ] } [ outbound ] |
|
显示ACL在报文过滤中的详细应用情况 |
display packet-filter verbose { global | interface interface-type interface-number } outbound [ { acl-number | name acl-name } ] |
|
显示全局应用的QoS策略 |
display qos policy global [ outbound ] |
|
显示接口应用的QoS策略 |
display qos policy interface [ interface-type interface-number ] [ outbound ] |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
