- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
21-QoS-QoS Profile操作
本章節下載 (429.96 KB)
QoS(Quality of Service,服務質量)是各種存在服務供需關係的場合中普遍存在的概念,它評估服務方滿足客戶服務需求的能力。評估通常不是精確的評分,而是注重分析在什麼條件下服務是好的,在什麼情況下還存在著不足,以便服務方有針對性地做出改進。
在Internet中,QoS所評估的就是網絡轉發分組的服務能力。由於網絡提供的服務是多樣的,因此對QoS的評估可以基於不同方麵。通常所說的QoS,是對分組轉發過程中為延遲、抖動、丟包率等核心需求提供支持的服務能力的評估。
傳統的IP網絡無區別地對待所有的報文,設備處理報文采用的策略是FIFO(First In First Out,先入先出),它依照報文到達時間的先後順序分配轉發所需要的資源。所有報文共享網絡和設備的資源,至於得到資源的多少完全取決於報文到達的時機。這種服務策略稱作Best-Effort,它盡最大的努力將報文送到目的地,但對分組轉發的延遲、抖動、丟包率和可靠性等需求不提供任何承諾和保證。
傳統的Best-Effort服務策略隻適用於對帶寬、延遲性能不敏感的WWW、文件傳輸、E-mail等業務。
隨著計算機網絡的高速發展,越來越多的網絡接入Internet。Internet無論從規模、覆蓋範圍和用戶數量上都拓展得非常快。越來越多的用戶使用Internet作為數據傳輸的平台,開展各種應用。
除了傳統的WWW、E-mail、FTP應用外,用戶還嚐試在Internet上拓展新業務,比如遠程教學、遠程醫療、可視電話、電視會議、視頻點播等。企業用戶也希望通過VPN技術,將分布在各地的分支機構連接起來,開展一些事務性應用:比如訪問公司的數據庫或通過Telnet管理遠程設備。
這些新業務有一個共同特點,即對帶寬、延遲、抖動等傳輸性能有著特殊的需求。比如電視會議、視頻點播需要高帶寬、低延遲和低抖動的保證。事務處理、Telnet等關鍵任務雖然不一定要求高帶寬,但非常注重低延遲,在擁塞發生時要求優先獲得處理。
新業務的不斷湧現對IP網絡的服務能力提出了更高的要求,用戶已不再滿足於能夠簡單地將報文送達目的地,而是還希望在轉發過程中得到更好的服務,諸如支持為用戶提供專用帶寬、減少報文的丟失率、管理和避免網絡擁塞、調控網絡的流量、設置報文的優先級。所有這些,都要求網絡應當具備更為完善的服務能力。
流分類、流量監管、流量整形、擁塞管理和擁塞避免是構造Diff-Serv(有區別地實施服務)的基石,它們主要完成如下功能:
l
流分類:依據一定的匹配規則識別出對象。流分類是有區別地實施服務的前提。
l
流量監管:對進入設備的特定流量進行監管。當流量超出約定值時,可以采取限製或懲罰措施,以保護運營商的商業利益和網絡資源不受損害。
l
流量整形:一種主動調整流的輸出速率的流控措施,通常是為了使流量適配下遊設備可供給的網絡資源,避免不必要的報文丟棄和擁塞。
l
擁塞管理:擁塞管理是必須采取的解決資源競爭的措施。通常是將報文放入隊列中緩存,並采取某種調度算法安排報文的轉發次序。
l
擁塞避免:過度的擁塞會對網絡資源造成損害。擁塞避免監督網絡資源的使用情況,當發現擁塞有加劇的趨勢時采取主動丟棄報文的策略,通過調整流量來解除網絡的過載。
在這些流量管理技術中,流分類是基礎,它依據一定的匹配規則識別出報文,是有區別地實施服務的前提;而流量監管、流量整形、擁塞管理和擁塞避免從不同方麵對網絡流量及其分配的資源實施控製,是有區別地提供服務思想的具體體現。
流即業務流(traffic),指所有通過交換機的報文。
流分類(traffic classification)是指采用一定的規則識別符合某類特征的報文,它是有區別地進行服務的前提和基礎。
分類規則可以使用IP報文頭的TOS(Type of Service,服務類型)字段的優先級位,識別出有不同優先級特征的流量;也可以由網絡管理者設置流分類的策略,例如綜合源地址、目的地址、MAC地址、IP協議或應用程序的端口號等信息對流進行分類。一般的分類依據都局限在封裝報文的頭部信息,使用報文的內容作為分類的標準是比較少見的。分類的結果是沒有範圍限製的,它可以是一個由五元組(源地址、源端口號、協議號、目的地址、目的端口號)確定的狹小範圍,也可以是到某網段的所有報文。
(1)
IP優先級、ToS優先級和DSCP優先級
圖1-1 DS域和ToS字節
IP header的ToS字段有8個bit,其中:
l
前3個bit表示的是IP優先級,取值範圍為0~7;
l
第3~6這4個bit表示的是ToS優先級,取值範圍為0~15;
l
RFC2474重新定義了IP報文頭部的ToS域,稱之為DS域,其中DSCP(Differentiated Services Codepoint,差分服務編碼點)優先級用該域的前6個bit(0~5bit)表示,取值範圍為0~63,後2個bit(6、7bit)是保留位。
表1-1 IP優先級說明
|
IP優先級(十進製) |
IP優先級(二進製) |
關鍵字 |
|
0 |
000 |
routine |
|
1 |
001 |
priority |
|
2 |
010 |
immediate |
|
3 |
011 |
flash |
|
4 |
100 |
flash-override |
|
5 |
101 |
critical |
|
6 |
110 |
internet |
|
7 |
111 |
network |
Diff-Serv網絡定義了四類流量,設備會根據報文中的DSCP優先級對報文執行相應的動作:
l
加速轉發(Expedited Forwarding,EF)類,這種方式不用考慮其他流量是否分享其鏈路,適用於低時延、低丟失、低抖動、確保帶寬的優先業務(如虛租用線路);
l
確保轉發(Assured Forwarding,AF)類,又分為四個小類(AF1/2/3/4),每個AF小類又分為三個丟棄優先級,可以細分AF業務的等級,AF類的QoS等級低於EF類;
l
兼容IP優先級(Class selector,CS)類,是從IP TOS字段演變而來的,共8類;
l
盡力轉發(Best Effort,BE)類,是CS中特殊一類,沒有任何保證,AF類超限後可以降級為BE類,現有IP網絡流量也都默認為此類。
表1-2 DSCP優先級說明
|
DSCP優先級(十進製) |
DSCP優先級(二進製) |
關鍵字 |
|
46 |
101110 |
ef |
|
10 |
001010 |
af11 |
|
12 |
001100 |
af12 |
|
14 |
001110 |
af13 |
|
18 |
010010 |
af21 |
|
20 |
010100 |
af22 |
|
22 |
010110 |
af23 |
|
26 |
011010 |
af31 |
|
28 |
011100 |
af32 |
|
30 |
011110 |
af33 |
|
34 |
100010 |
af41 |
|
36 |
100100 |
af42 |
|
38 |
100110 |
af43 |
|
8 |
001000 |
cs1 |
|
16 |
010000 |
cs2 |
|
24 |
011000 |
cs3 |
|
32 |
100000 |
cs4 |
|
40 |
101000 |
cs5 |
|
48 |
110000 |
cs6 |
|
56 |
111000 |
cs7 |
|
0 |
000000 |
be(default) |
(2)
802.1p優先級
802.1p優先級位於二層報文頭部,適用於不需要分析三層報頭,而需要在二層環境下保證QoS的場合。
圖1-2 帶有802.1Q標簽頭的以太網幀
如圖1-2所示,每一個支持802.1Q協議的主機,在發送數據包時,都在原來的以太網幀頭中的源地址後增加了一個4字節的802.1Q標簽頭。
這4個字節的802.1Q標簽頭包含了2個字節的TPID(Tag Protocol Identifier,標簽協議標識,取值為0x8100)和2個字節的TCI(Tag Control Information,標簽控製信息),圖1-3顯示了802.1Q標簽頭的詳細內容。
圖1-3 802.1Q標簽頭
在上圖中,TCI中Priority字段就是802.1p優先級,也稱為COS優先級。它由3個bit組成,取值範圍為0~7。
表1-3 802.1p優先級說明
|
802.1p優先級(十進製) |
802.1p優先級(二進製) |
關鍵字 |
|
0 |
000 |
best-effort |
|
1 |
001 |
background |
|
2 |
010 |
spare |
|
3 |
011 |
excellent-effort |
|
4 |
100 |
controlled-load |
|
5 |
101 |
video |
|
6 |
110 |
voice |
|
7 |
111 |
network-management |
之所以稱此優先級為802.1p優先級,是因為有關這些優先級的應用是在802.1p規範中被詳細定義。
報文在進入交換機以後,交換機會根據自身支持的情況和相應的規則為報文標記802.1p優先級、DSCP優先級、本地優先級和丟棄優先級等參數。
其中,本地優先級和丟棄優先級的概念如下:
l
本地優先級:交換機為報文分配的一種具有本地意義的優先級,對應出端口隊列,本地優先級值大的報文被優先處理。
l
丟棄優先級:交換機在丟棄報文時參考的參數,丟棄優先級值大的報文被優先丟棄。
& 說明:
S5100-SI係列以太網交換機不支持為報文標記丟棄優先級。
S5100-SI/EI係列以太網交換機提供兩種優先級信任模式:
l
信任報文的優先級
l
信任端口的優先級
報文的優先級映射過程如圖1-4所示。
在信任報文的優先級模式下,用戶還可以配置信任如下優先級:
l
信任報文的802.1p優先級
l
信任報文的DSCP優先級
在配置信任報文的802.1p優先級時,用戶可以指定是否使用映射後的優先級來替換報文自身攜帶的優先級:
l
使用缺省模式:交換機不使用映射後的優先級來替換報文自身攜帶的優先級;
l
使用automap模式:交換機使用映射後的優先級來替換報文自身攜帶的優先級。
如果報文本身沒有攜帶802.1p優先級,交換機將使用接收端口的優先級作為報文的802.1p優先級,然後根據該優先級查找“COS優先級->其他優先級”映射表進行相應的映射。
在配置信任報文的DSCP優先級時,用戶可以指定是否使用映射後的優先級來替換報文自身攜帶的優先級:
l
使用缺省模式:交換機不使用映射後的優先級來替換報文自身攜帶的優先級;
l
使用automap模式:交換機使用映射後的優先級來替換報文自身攜帶的優先級;
l
使用remap模式:交換機首先查找“DSCP優先級->DSCP優先級”映射表,為報文映射新的DSCP優先級,然後根據新的DSCP優先級查找“DSCP優先級->其他優先級”映射表,使用映射後的優先級來替換報文自身攜帶的優先級。
S5100-SI/EI係列以太網交換機提供“COS優先級->其他優先級”、“DSCP優先級->其他優先級”和“DSCP優先級->DSCP優先級”映射表,分別對應相應的優先級映射關係。各個優先級的映射表和缺省取值如下所示。
表1-4 S5100-EI係列以太網交換機支持的“COS優先級->其他優先級”映射表及缺省取值
|
802.1p優先級 |
本地優先級 |
丟棄優先級 |
DSCP優先級 |
|
0 |
2 |
0 |
16 |
|
1 |
0 |
0 |
0 |
|
2 |
1 |
0 |
8 |
|
3 |
3 |
0 |
24 |
|
4 |
4 |
0 |
32 |
|
5 |
5 |
0 |
40 |
|
6 |
6 |
0 |
48 |
|
7 |
7 |
0 |
56 |
表1-5 S5100-SI係列以太網交換機支持的“COS優先級->其他優先級”映射表及缺省取值
|
802.1p優先級 |
本地優先級 |
DSCP優先級 |
|
0 |
1 |
16 |
|
1 |
0 |
0 |
|
2 |
0 |
8 |
|
3 |
1 |
24 |
|
4 |
2 |
32 |
|
5 |
2 |
40 |
|
6 |
3 |
48 |
|
7 |
3 |
56 |
表1-6 S5100-EI係列以太網交換機支持的“DSCP優先級->其他優先級”映射表及缺省取值
|
DSCP優先級 |
本地優先級 |
丟棄優先級 |
802.1p優先級 |
|
0~7 |
0 |
1 |
1 |
|
8~15 |
1 |
1 |
2 |
|
16~23 |
2 |
1 |
0 |
|
24~31 |
3 |
1 |
3 |
|
32~39 |
4 |
0 |
4 |
|
40~47 |
5 |
0 |
5 |
|
48~55 |
6 |
0 |
6 |
|
56~63 |
7 |
0 |
7 |
表1-7 S5100-SI係列以太網交換機支持的“DSCP優先級->其他優先級”映射表及缺省取值
|
DSCP優先級 |
本地優先級 |
802.1p優先級 |
|
0~7 |
0 |
1 |
|
8~15 |
0 |
2 |
|
16~23 |
1 |
0 |
|
24~31 |
1 |
3 |
|
32~39 |
2 |
4 |
|
40~47 |
2 |
5 |
|
48~55 |
3 |
6 |
|
56~63 |
3 |
7 |
表1-8 S5100-SI/EI係列以太網交換機支持的“DSCP優先級->DSCP優先級”映射表及缺省取值
|
DSCP優先級 |
新的DSCP優先級 |
|
0 |
0 |
|
1 |
1 |
|
2 |
2 |
|
3 |
3 |
|
略 |
略 |
|
61 |
61 |
|
62 |
62 |
|
63 |
63 |
協議報文自身攜帶有報文的優先級。用戶可以通過配置來改變協議報文的優先級,然後和相應的QoS動作配合,對協議報文進行相應的QoS處理。
優先級重標記功能通過引用ACL進行流識別,為匹配的報文重新指定優先級。
如果不限製用戶發送的流量,那麼大量用戶不斷突發的數據隻會使網絡更擁擠。為了使有限的網絡資源能夠更好地發揮效用,更好地為更多的用戶服務,必須對用戶的流量加以限製。比如限製每個時間間隔某個流隻能得到承諾分配給它的那部分資源,防止由於過分突發所引發的網絡擁塞。
流量監管和流量整形就是一種通過對流量進行監督,來限製流量及其資源使用的流控策略。進行流量監管或流量整形有一個前提條件,就是要知道流量是否超出了限製,然後才能根據評估結果實施調控策略。一般采用令牌桶(Token Bucket)對流量進行評估。
令牌桶可以看作是一個存放令牌的容器,它有一定的容量。係統按設定的速度向桶中放置令牌,當桶中令牌滿時,多出的令牌溢出,桶中令牌不再增加。
圖1-5 用令牌桶評測流量
在使用令牌桶對流量進行評估時,是以令牌桶中的令牌數量是否足夠滿足報文的轉發為依據的。如果桶中存在足夠的令牌可以用來轉發報文,稱流量遵守或符合(conforming)約定值,否則稱為不符合或超標(excess)。
評估流量時令牌桶的參數設置包括:
l
平均速率:向桶中放置令牌的速率,即允許的流的平均速度。通常設置為CIR(Committed Information Rate,承諾信息速率)。
l
突發尺寸:令牌桶的容量,即每次突發所允許的最大的流量尺寸。通常設置為CBS(Committed Burst Size,承諾突發尺寸),設置的突發尺寸必須大於最大報文長度。
每到達一個報文就進行一次評估。每次評估,如果桶中有足夠的令牌可供使用,則說明流量控製在允許的範圍內,此時要從桶中取走與報文轉發權限相當的令牌數量;否則說明已經耗費太多令牌,流量超標了。
流量監管的典型應用是監督進入網絡的某一流量,把它限製在一個合理的範圍之內,或對超出的部分流量進行“懲罰”,以保護網絡資源和運營商的利益。例如可以限製HTTP報文不能占用超過50%的網絡帶寬。如果發現某個連接的流量超標,流量監管可以選擇丟棄報文,或重新設置報文的優先級。
流量監管廣泛的用於監管進入因特網服務提供商ISP的網絡流量。流量監管還包括對所監管流量的流分類服務,並依據不同的評估結果,實施預先設定好的監管動作。這些動作可以是:
l
丟棄:比如對評估結果為“不符合”的報文進行丟棄;
l
轉發:比如對評估結果為“符合”或者“不符合”的報文進行轉發;
l
改變802.1p優先級並轉發:比如對評估結果為“符合”或者“不符合”的報文,將之標記為其它的802.1p優先級後再進行轉發;
l
改變DSCP優先級並轉發:比如對評估結果為“符合”或者“不符合”的報文,將之標記為其它的DSCP優先級後再進行轉發。
TS(Traffic Shaping,流量整形)是一種主動調整流量輸出速率的措施。一個典型應用是基於下遊網絡結點的TP指標來控製本地流量的輸出。
流量整形與流量監管的主要區別在於,流量整形對流量監管中需要丟棄的報文進行緩存——通常是將它們放入緩衝區或隊列內,如圖1-6所示。當令牌桶有足夠的令牌時,再均勻的向外發送這些被緩存的報文。流量整形與流量監管的另一區別是,整形可能會增加延遲,而監管幾乎不引入額外的延遲。
圖1-6 TS示意圖
例如,設備A向設備B發送報文。設備B要對設備A發送來的報文進行流量監管,對超出限製的流量直接丟棄。
為了減少報文的無謂丟失,可以在設備A的出口對報文進行流量整形處理。將超出流量整形特性的報文緩存在設備A中。當可以繼續發送下一批報文時,流量整形再從緩衝隊列中取出報文進行發送。這樣,發向設備B的報文將都符合設備B的流量規定。
端口限速(Line Rate)是指基於端口的速率限製,它對端口接收或發送報文的總速率進行限製。
端口限速也是采用令牌桶進行流量控製。如果在設備的某個端口上配置了端口限速,所有經由該端口接收或發送的報文首先要經過令牌桶進行處理。如果令牌桶中有足夠的令牌,則報文可以被接收或發送;否則,報文將被丟棄。
與流量監管相比,端口限速能夠限製在端口上通過的所有報文。當用戶隻要求對所有報文限速時,使用端口限速比較簡單。
重定向功能是指通過引用ACL進行流識別,將匹配的報文重定向到指定的端口。用戶可以使用重定向功能改變報文的轉發流程,滿足特定的需要。
VLAN Mapping功能通過引用ACL進行流識別,將匹配的報文中攜帶的VLAN編號映射為指定的VLAN編號。用戶可以在連接用戶網絡和運營商網絡的交換機上配置VLAN Mapping功能,將用戶網絡中特定報文的VLAN編號映射為運營商網絡中指定的VLAN編號,滿足運營商網絡規劃的要求。
當網絡擁塞時,必須解決多個報文同時競爭使用資源的問題,通常采用隊列調度加以解決。
下麵介紹SP(Strict-Priority,嚴格優先級隊列)、WRR(Weighted Round Robin,加權輪詢優先級隊列)和SDWRR(Shaped Deficit WRR)。
(1)
SP隊列
圖1-7 SP隊列示意圖
SP隊列調度算法,是針對關鍵業務型應用設計的。關鍵業務有一個重要的特點,即在擁塞發生時要求優先獲得服務以減小響應的延遲。以端口有8個輸出隊列為例,優先隊列將端口的8個輸出隊列分成8類,依次為7、6、5、4、3、2、1、0隊列,它們的優先級依次降低。
在隊列調度時,SP嚴格按照優先級從高到低的次序優先發送較高優先級隊列中的分組,當較高優先級隊列為空時,再發送較低優先級隊列中的分組。這樣,將關鍵業務的分組放入較高優先級的隊列,將非關鍵業務(如E-Mail)的分組放入較低優先級的隊列,可以保證關鍵業務的分組被優先傳送,非關鍵業務的分組在處理關鍵業務數據的空閑間隙被傳送。
SP的缺點是:擁塞發生時,如果較高優先級隊列中長時間有分組存在,那麼低優先級隊列中的報文就會由於得不到服務而“餓死”。
(2)
WRR隊列
圖1-8 WRR隊列示意圖
WRR隊列調度算法在隊列之間進行輪流調度,保證每個隊列都得到一定的服務時間。以端口有8個輸出隊列為例,WRR可為每個隊列配置一個加權值(依次為w7、w6、w5、w4、w3、w2、w1、w0),加權值表示獲取資源的比重。如一個100M的端口,配置它的WRR隊列調度算法的加權值為50、50、30、30、10、10、10、10(依次對應w7、w6、w5、w4、w3、w2、w1、w0),這樣可以保證最低優先級隊列至少獲得5Mbit/s帶寬,避免了采用SP調度時低優先級隊列中的報文可能長時間得不到服務的缺點。WRR隊列還有一個優點是,雖然多個隊列的調度是輪詢進行的,但對每個隊列不是固定地分配服務時間片——如果某個隊列為空,那麼馬上換到下一個隊列調度,這樣帶寬資源可以得到充分的利用。
(3)
SDWRR
SDWRR和WRR相比,對不同隊列延遲和抖動有更進一步的優化。
例如,配置隊列0和1的權重為5和3,兩種隊列調度的處理如下:
l
WRR:隻有全部調度完0隊列5個權重的報文之後,才會調度1隊列3個權重的報文。在兩個隊列的權重相差很大的情況下,高權重隊列會給低權重隊列造成很大的延遲和抖動。
l
SDWRR:輪詢調度兩個隊列,先調度0隊列1個權重的報文,再調度1隊列1個權重的報文,依次類推,直到某個隊列調度完畢,SDWRR將繼續調度另一個隊列的剩餘權重。具體調度順序如表1-9所示。
表1-9 SDWRR隊列調度順序
|
調度算法 |
隊列調度順序 |
說明 |
|
WRR |
0,0,0,0,0,1,1,1,0,0,0,0,0,1,1,1 |
0表示0隊列的報文 1表示1隊列的報文 |
|
SDWRR |
0,1,0,1,0,1,0,0,1,0,1,0,1,0,0,0 |
基於流的流量統計功能通過引用ACL進行流識別,對匹配的報文進行流量統計。它可以幫助用戶針對感興趣的報文作統計分析。
在下列情況下,Burst功能可以提供更好的報文緩存功能和流量轉發性能:
l
廣播或者組播報文流量密集,瞬間突發流量大的網絡環境中。
l
報文從高速鏈路進入設備,由低速鏈路轉發出去;或者報文從相同速率的多個接口同時進入設備,由一個相同速率的接口轉發出去。
用戶可以通過開啟Burst功能,降低設備在上述特定環境中的報文丟包率,提高對報文的處理能力。需要注意的是,開啟Burst功能後,設備的QoS性能可能會受到影響,建議用戶根據自己的具體網絡環境進行配置。
流鏡像功能是指通過引用ACL進行流識別,將通過指定端口的匹配ACL規則的報文鏡像到目的端口。關於鏡像的詳細介紹請參見“鏡像”部分。
表1-10 QoS配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置優先級信任模式 |
可選 |
|
|
配置優先級之間的映射關係 |
可選 |
|
|
配置協議報文優先級 |
可選 |
|
|
配置優先級重標記 |
可選 |
|
|
配置流量監管 |
可選 |
|
|
配置流量整形 |
可選 |
|
|
配置端口限速 |
可選 |
|
|
配置重定向 |
可選 |
|
|
配置VLAN Mapping |
可選 |
|
|
配置隊列調度 |
可選 |
|
|
配置流量統計 |
可選 |
|
|
配置Burst功能 |
可選 |
|
|
配置流鏡像 |
可選 |
l
確定了優先級信任模式
l
確定了需要進行配置端口優先級的端口
l
確定了端口的優先級取值
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置端口的優先級 |
priority priority-level |
可選 缺省情況下,端口優先級為0 |
表1-12 配置信任報文的802.1p優先級
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置信任報文的802.1p優先級 |
priority-trust cos [ automap ] |
必選 缺省情況下,信任端口的優先級 |
表1-13 配置信任報文的DSCP優先級
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置信任報文的DSCP優先級 |
priority-trust dscp [ automap | remap ] |
必選 缺省情況下,信任端口的優先級 |
在端口GigabitEthernet 1/0/1上配置優先級信任模式為信任端口的優先級,並指定端口GigabitEthernet 1/0/1的優先級為7。
配置步驟:
<H3C> system-view
[H3C] interface GigabitEthernet1/0/1
[H3C-GigabitEthernet1/0/1] priority 7
在端口GigabitEthernet 1/0/1上配置優先級信任模式為信任報文的802.1p優先級。
配置步驟:
<H3C> system-view
[H3C] interface GigabitEthernet1/0/1
[H3C-GigabitEthernet1/0/1] priority-trust cos
在端口GigabitEthernet 1/0/1上配置優先級信任模式為信任報文的DSCP優先級。
配置步驟:
<H3C> system-view
[H3C] interface GigabitEthernet1/0/1
[H3C-GigabitEthernet1/0/1] priority-trust dscp
用戶可以根據需要改變“COS優先級->其他優先級”、“DSCP優先級->其他優先級”和“DSCP優先級->DSCP優先級”的映射關係,為報文標記不同的優先級。
用戶確定了新的“COS優先級->其他優先級”、“DSCP優先級->其他優先級”和“DSCP優先級->DSCP優先級”的映射關係。
表1-14 配置“COS優先級->其他優先級”的映射關係
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置“COS優先級->本地優先級”的映射關係 |
qos cos-local-precedence-map cos0-map-local-prec cos1-map-local-prec cos2-map-local-prec cos3-map-local-prec cos4-map-local-prec cos5-map-local-prec cos6-map-local-prec cos7-map-local-prec |
必選 |
|
配置“COS優先級->丟棄優先級”的映射關係 |
qos cos-drop-precedence-map cos0-map-drop-prec cos1-map-drop-prec cos2-map-drop-prec cos3-map-drop-prec cos4-map-drop-prec cos5-map-drop-prec cos6-map-drop-prec cos7-map-drop-prec |
必選 僅S5100-EI係列以太網交換機支持本配置 |
|
配置“COS優先級->DSCP優先級”的映射關係 |
qos cos-dscp-map cos0-map-dscp cos1-map-dscp cos2-map-dscp cos3-map-dscp cos4-map-dscp cos5-map-dscp cos6-map-dscp cos7-map-dscp |
必選 |
表1-15 配置“DSCP優先級->其他優先級”的映射關係
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置“DSCP優先級->本地優先級”的映射關係 |
qos dscp-local-precedence-map dscp-list
: local-precedence |
必選 |
|
配置“DSCP優先級->丟棄優先級”的映射關係 |
qos dscp-drop-precedence-map dscp-list : drop-precedence |
必選 僅S5100-EI係列以太網交換機支持本配置 |
|
配置“DSCP優先級->COS優先級”的映射關係 |
qos dscp-cos-map dscp-list : cos-value |
必選 |
表1-16 配置“DSCP優先級->DSCP優先級”的映射關係
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置“DSCP優先級->DSCP優先級”映射關係 |
qos dscp-dscp-map dscp-list
: dscp-value |
必選 |
l
配置S5100-EI係列以太網交換機支持的“COS優先級->本地優先級”的映射關係為0->2、1->3、2->4、3->1、4->7、5->0、6->5、7->6
l
查看配置結果
配置步驟:
<H3C> system-view
[H3C] qos cos-local-precedence-map 2 3 4 1 7 0 5 6
[H3C] display qos cos-local-precedence-map
cos-local-precedence-map:
cos(802.1p) : 0 1 2 3 4 5 6 7
--------------------------------------------------------------------------
local precedence(queue) : 2 3 4 1 7 0 5 6
l
配置S5100-EI係列以太網交換機支持的“DSCP優先級->本地優先級”的映射關係為0~7->2、8~15->3、16~23->4、24~31->1、32~39->7、40~47->0、48~55->5、56~63->6
l
查看配置結果
<H3C> system-view
[H3C] qos dscp-local-precedence-map 0 1 2 3 4 5 6 7 : 2
[H3C] qos dscp-local-precedence-map 8 9 10 11 12 13 14 15 : 3
[H3C] qos dscp-local-precedence-map 16 17 18 19 20 21 22 23 : 4
[H3C] qos dscp-local-precedence-map 24 25 26 27 28 29 30 31 : 1
[H3C] qos dscp-local-precedence-map 32 33 34 35 36 37 38 39 : 7
[H3C] qos dscp-local-precedence-map 40 41 42 43 44 45 46 47 : 0
[H3C] qos dscp-local-precedence-map 48 49 50 51 52 53 54 55 : 5
[H3C] qos dscp-local-precedence-map 56 57 58 59 60 61 62 63 : 6
<H3C> display qos dscp-local-precedence-map
dscp-local-precedence-map:
dscp : local-precedence(queue)
----------------------------------------------
0
:
2
1 :
2
2 :
2
3 :
2
4 :
2
5 :
2
6 :
2
7 :
2
8 :
3
9 :
3
10 :
3
11 :
3
12 :
3
13 :
3
14 :
3
15 : 3
16 :
4
17 :
4
18 :
4
19 :
4
20 :
4
21 :
4
22 :
4
23 :
4
24 :
1
25 :
1
26 :
1
27 :
1
28 :
1
29 :
1
30 :
1
31
:
1
32 :
7
33 :
7
34 :
7
35 :
7
36 :
7
37 :
7
38 :
7
39 :
7
40 :
0
41 :
0
42 :
0
43 :
0
44 :
0
45 :
0
46 : 0
47 :
0
48 :
5
49 :
5
50 :
5
51 :
5
52 :
5
53 :
5
54 :
5
55 :
5
56 :
6
57 :
6
58 :
6
59 :
6
60 :
6
61 :
6
62
:
6
63 :
6
l
確定了需要改變優先級的協議類型
l
確定了改變後的優先級取值
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置協議報文優先級 |
protocol-priority protocol-type protocol-type
{ ip-precedence ip-precedence | dscp dscp-value } |
必選 用戶可以改變協議報文的IP優先級或者DSCP優先級 S5100-SI/EI係列以太網交換機支持改變TELNET、SNMP、ICMP協議報文的優先級 |
l
改變ICMP協議報文的IP優先級為3
l
查看配置結果
配置步驟:
<H3C> system-view
[H3C] protocol-priority protocol-type icmp ip-precedence 3
[H3C] display protocol-priority
Protocol: icmp
IP-Precedence: flash(3)
& 說明:
僅H3C S5100-EI係列以太網交換機支持本配置。
優先級重標記功能有以下兩種實現方式:
l
通過流量監管實現:在配置流量監管時,對符合流量或者超出流量的報文重新標記802.1p優先級、DSCP優先級,具體配置請參見1.3.5 配置流量監管
l
通過traffic-priority命令實現:用戶可以使用traffic-priority命令重新標記報文的802.1p優先級、DSCP優先級
l
確定了進行流識別的ACL,具體配置請參見“ACL”部分的介紹
l
確定了對匹配規則的報文重新標記的優先級類型和取值
用戶可以在全局、VLAN、端口組和端口配置優先級重標記。
表1-18 全局配置優先級重標記
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置優先級重標記 |
traffic-priority inbound
acl-rule { dscp dscp-value | cos cos-value } |
必選 缺省情況下,沒有配置優先級重標記 |
表1-19 VLAN配置優先級重標記
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置優先級重標記 |
traffic-priority vlan vlan-id inbound acl-rule { dscp dscp-value | cos cos-value } |
必選 缺省情況下,沒有配置優先級重標記 |
表1-20 端口組配置優先級重標記
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入端口組視圖 |
port-group group-id |
- |
|
配置優先級重標記 |
traffic-priority inbound
acl-rule { dscp dscp-value | cos cos-value } |
必選 缺省情況下,沒有配置優先級重標記 |
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置優先級重標記 |
traffic-priority inbound
acl-rule { dscp dscp-value | cos cos-value } |
必選 缺省情況下,沒有配置優先級重標記 |
注意:
在全局或VLAN配置優先級重標記時,用戶定義的流分類規則的優先級高於設備默認的處理協議報文規則的優先級,設備會執行優先級重標記動作,因此可能會影響用戶通過Telnet等方式對設備進行管理。
l
端口GigabitEthernet 1/0/1屬於VLAN 2,接入了10.1.1.0/24網段
l
將來自10.1.1.0/24網段的報文的DSCP優先級重新標記為56
配置一:
<H3C> system-view
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 10.1.1.1 0.0.0.255
[H3C-acl-basic-2000] quit
[H3C] interface GigabitEthernet1/0/1
[H3C-GigabitEthernet1/0/1] traffic-priority inbound ip-group 2000 dscp 56
配置二:
<H3C> system-view
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 10.1.1.1 0.0.0.255
[H3C-acl-basic-2000] quit
[H3C] traffic-priority vlan 2 inbound ip-group 2000 dscp 56
& 說明:
僅H3C S5100-EI係列以太網交換機支持本配置。
l
確定了進行流識別的ACL,具體配置請參見“ACL”部分的介紹
l
確定了流量監管限製的速率、對於符合流量或者超出流量的報文采取的動作
用戶可以在全局、VLAN、端口組和端口配置流量監管或者清除流量監管的統計信息。
表1-22 全局配置流量監管
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置流量監管 |
traffic-limit inbound acl-rule target-rate [ conform con-action ] [ exceed exceed-action ]
[ meter-statistic ] |
必選 缺省情況下,沒有配置流量監管 |
|
清除流量監管的統計信息 |
reset traffic-limit inbound acl-rule |
可選 |
表1-23 VLAN配置流量監管
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置流量監管 |
traffic-limit vlan vlan-id inbound acl-rule target-rate [ conform con-action ] [ exceed exceed-action ]
[ meter-statistic ] |
必選 缺省情況下,沒有配置流量監管 |
|
清除流量監管的統計信息 |
reset traffic-limit vlan vlan-id inbound acl-rule |
可選 |
表1-24 端口組配置流量監管
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入端口組視圖 |
port-group group-id |
- |
|
配置流量監管 |
traffic-limit inbound acl-rule target-rate [ conform con-action ] [ exceed exceed-action ]
[ meter-statistic ] |
必選 缺省情況下,沒有配置流量監管 |
|
清除流量監管的統計信息 |
reset traffic-limit inbound acl-rule |
可選 |
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置流量監管 |
traffic-limit inbound acl-rule target-rate [ conform con-action ] [ exceed exceed-action ]
[ meter-statistic ] |
必選 缺省情況下,沒有配置流量監管 |
|
清除流量監管的統計信息 |
reset traffic-limit inbound acl-rule |
可選 |
注意:
在全局或VLAN配置流量監管時,用戶定義的流分類規則的優先級高於設備默認的處理協議報文規則的優先級,設備會執行流量監管動作,因此可能會影響用戶通過Telnet等方式對設備進行管理。
l
端口GigabitEthernet1/0/1屬於VLAN 2,接入了10.1.1.0/24網段
l
對來自10.1.1.0/24網段的流量進行流量監管,流量監管的速率設置為128kbps
l
對於超出流量的報文,重新標記報文的DSCP優先級為56後轉發
配置一:
<H3C> system-view
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 10.1.1.1 0.0.0.255
[H3C-acl-basic-2000] quit
[H3C] interface GigabitEthernet1/0/1
[H3C-GigabitEthernet1/0/1] traffic-limit inbound ip-group 2000 128 exceed remark-dscp 56
配置二:
<H3C> system-view
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 10.1.1.1 0.0.0.255
[H3C-acl-basic-2000] quit
[H3C] traffic-limit vlan 2 inbound ip-group 2000 128 exceed remark-dscp 56
& 說明:
僅H3C S5100-EI係列以太網交換機支持本配置。
l
確定了流量整形的方式,即針對所有流量進行整形還是針對特定輸出隊列的流量進行整形
l
確定了流量的最大速率和突發尺寸
l
確定了需要進行本配置的端口
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置流量整形 |
traffic-shape [ queue queue-id
] max-rate burst-size |
必選 缺省情況下,沒有配置流量整形 交換機支持兩種流量整形方式: l 針對所有流量進行整形,在命令traffic-shape中不指定queue queue-id可以實現此方式 l 針對特定輸出隊列的流量進行整形,在命令traffic-shape中指定queue queue-id可以實現此方式 |
對端口GigabitEthernet1/0/1發送的所有流量進行整形,配置流量最大速率為640Kbps,突發尺寸為16Kbytes。
<H3C> system-view
[H3C] interface GigabitEthernet1/0/1
[H3C-GigabitEthernet1/0/1] traffic-shape 640 16
& 說明:
僅H3C S5100-SI係列以太網交換機支持本配置。
l
確定了需要進行限速的端口
l
確定了限速的方向和速率
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置端口限速 |
line-rate { inbound | outbound } target-rate |
必選 缺省情況下,沒有配置端口限速 |
在端口GigabitEthernet 1/0/1的入方向配置端口限速,限定速率為1024Kbps。
配置步驟:
<H3C> system-view
[H3C] interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1] line-rate inbound 1024
& 說明:
僅H3C S5100-EI係列以太網交換機支持本配置。
l
確定了進行流識別的ACL,具體配置請參見“ACL”部分的介紹
l
確定了對配置規則的報文重定向後的端口
用戶可以在全局、VLAN、端口組和端口配置重定向。
表1-28 全局配置重定向
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置重定向 |
traffic-redirect inbound acl-rule interface interface-type interface-number |
必選 |
表1-29 VLAN配置重定向
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置重定向 |
traffic-redirect vlan vlan-id inbound acl-rule interface interface-type interface-number |
必選 |
表1-30 端口組配置重定向
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入端口組視圖 |
port-group group-id |
- |
|
配置重定向 |
traffic-redirect inbound acl-rule interface interface-type interface-number |
必選 |
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置重定向 |
traffic-redirect inbound acl-rule interface interface-type interface-number |
必選 |
& 說明:
如果重定向目的端口為處於Down狀態的Combo端口,係統會把匹配的報文重定向到與此Combo端口相對應處於Up狀態的普通端口。關於Combo端口的詳細介紹請參見“端口基本配置”部分。
注意:
在全局或VLAN配置重定向時,用戶定義的流分類規則的優先級高於設備默認的處理協議報文規則的優先級,設備會執行重定向動作,因此可能會影響用戶通過Telnet等方式對設備進行管理。
l
端口GigabitEthernet 1/0/1屬於VLAN 2,接入了10.1.1.0/24網段
l
將所有來自10.1.1.0/24網段的流量都重定向到端口GigabitEthernet 1/0/7
配置一:
<H3C> system-view
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 10.1.1.1 0.0.0.255
[H3C-acl-basic-2000] quit
[H3C] interface GigabitEthernet1/0/1
[H3C-GigabitEthernet1/0/1] traffic-redirect inbound ip-group 2000 interface GigabitEthernet1/0/7
配置二:
<H3C> system-view
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 10.1.1.1 0.0.0.255
[H3C-acl-basic-2000] quit
[H3C] traffic-redirect vlan 2 inbound ip-group 2000 interface GigabitEthernet1/0/7
& 說明:
僅H3C S5100-EI係列以太網交換機支持本配置。
VLAN Mapping的介紹請參見1.2.9 VLAN Mapping。
l
確定了進行流識別的ACL,具體配置請參見“ACL”部分的介紹
l
確定了重標記時使用的VLAN編號
l
確定了需要進行本配置的端口
表1-32 配置VLAN Mapping
|
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
進入以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置VLAN Mapping |
traffic-remark-vlanid inbound acl-rule remark-vlan vlan-id [ all-packet
| tagged-packet | untagged-packet ] |
必選 缺省情況下,沒有配置VLAN Mapping S5100-EI係列以太網交換機不支持配置all-packet和tagged-packet參數 |
l
端口GigabitEthernet 1/0/1屬於VLAN 2,接入了10.1.1.0/24網段
l
對所有來自10.1.1.0/24網段的報文配置VLAN Mapping,將報文中攜帶的VLAN編號映射為1001
配置步驟:
<H3C> system-view
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 10.1.1.1 0.0.0.255
[H3C-acl-basic-2000] quit
[H3C] interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1] traffic-remark-vlanid inbound ip-group 2000 remark-vlan 1001
確定了使用的隊列調度算法及參數。
表1-33 配置SP隊列調度算法
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置SP隊列調度算法 |
S5100-EI係列以太網交換機支持的命令形式: undo queue-scheduler [ queue-id ] &<1-8> |
可選 缺省情況下,交換機的端口上所有輸出隊列采用SP調度算法 |
|
S5100-SI係列以太網交換機支持的命令形式: undo queue-scheduler [ queue-id ] &<1-4> |
表1-34 配置SDWRR隊列調度算法
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置SDWRR隊列調度算法 |
S5100-EI係列以太網交換機支持的命令形式: queue-scheduler wrr {
group1 { queue-id queue-weight } &<1-8> | group2 { queue-id queue-weight } &<1-8> }* |
必選 缺省情況下,交換機的端口上所有輸出隊列采用SP調度算法 |
|
S5100-SI係列以太網交換機支持的命令形式: queue-scheduler wrr { group1 { queue-id queue-weight } &<1-4> |
group2 { queue-id queue-weight } &<1-4> }* |
S5100-SI係列以太網交換機的端口支持4個輸出隊列,S5100-EI係列以太網交換機的端口支持8個輸出隊列,用戶可以根據需要配置使用SP、SDWRR或SP+SDWRR隊列調度算法。以S5100-EI係列以太網交換機為例:
l
當用戶配置使用SDWRR隊列調度算法時,可以將隊列劃分到Group1和Group2中,進行隊列調度時,兩個組之間的調度方式為SP。例如,用戶可以將隊列0、1、2、3劃分到Group1,將隊列4、5、6、7劃分到Group2,係統首先在Group2中進行輪詢調度;Group2中沒有報文發送時,才在Group1中進行輪詢調度。
l
當用戶配置使用SP+SDWRR隊列調度算法時,各個組之間的調度方式為SP。例如,隊列0、1采取缺省的SP隊列調度,將隊列2、3、4劃分到Group1,將隊列5、6、7劃分到Group2,係統首先在Group2中進行輪詢調度;Group2中沒有報文發送時,才在Group1中進行輪詢調度;然後再對隊列1進行調度,隊列1中沒有報文發送時,最後才對隊列0進行調度。
& 說明:
當用戶配置使用SDWRR或者SP+SDWRR隊列調度算法時,建議用戶將連續的隊列劃分到同一個調度組內。
l
配置S5100-EI係列以太網交換機的隊列調度算法為SP+SDWRR
l
隊列3、4、5加入WRR調度組1,權重分別為20、20、30
l
隊列0、1、2加入WRR調度組2,權重分別為20、20、40
l
隊列6、7采用缺省的SP隊列調度
l
查看配置信息
配置步驟:
<H3C> system-view
[H3C] queue-scheduler wrr group1 3 20 4 20 5 30 group2 0 20 1 20 2 40
[H3C] display queue-scheduler
QID: scheduling-group weight
-----------------------------------
0 : wrr , group2
20
1 : wrr , group2
20
2 : wrr , group2
40
3 : wrr , group1
20
4 : wrr , group1
20
5 : wrr , group1
30
6 : sp
0
7 : sp
0
& 說明:
僅H3C S5100-EI係列以太網交換機支持本配置。
確定了進行流識別的ACL,具體配置請參見“ACL”部分的介紹。
用戶可以在全局、VLAN、端口組和端口配置流量統計或者清除流量統計信息。
表1-35 全局配置流量統計
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置流量統計 |
traffic-statistic inbound acl-rule |
必選 |
|
清除流量統計信息 |
reset traffic-statistic inbound acl-rule |
可選 |
表1-36 VLAN配置流量統計
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置流量統計 |
traffic-statistic vlan vlan-id inbound acl-rule |
必選 |
|
清除流量統計信息 |
reset traffic-statistic vlan vlan-id inbound acl-rule |
可選 |
表1-37 端口組配置流量統計
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入端口組視圖 |
port-group group-id |
- |
|
配置流量統計 |
traffic-statistic inbound acl-rule |
必選 |
|
清除流量統計信息 |
reset traffic-statistic inbound acl-rule |
可選 |
表1-38 端口配置流量統計
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置流量統計 |
traffic-statistic inbound acl-rule |
必選 |
|
清除流量統計信息 |
reset traffic-statistic inbound acl-rule |
可選 |
注意:
在全局或VLAN配置流量統計時,用戶定義的流分類規則的優先級高於設備默認的處理協議報文規則的優先級,設備會執行流量統計動作,因此可能會影響用戶通過Telnet等方式對設備進行管理。
l
端口GigabitEthernet 1/0/1屬於VLAN 2,接入了10.1.1.0/24網段
l
對來自10.1.1.0/24網段的流量進行流量統計
l
清除流量統計信息
配置一:
<H3C> system-view
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 10.1.1.1 0.0.0.255
[H3C-acl-basic-2000] quit
[H3C] interface GigabitEthernet1/0/1
[H3C-GigabitEthernet1/0/1] traffic-statistic inbound ip-group 2000
[H3C-GigabitEthernet1/0/1] reset traffic-statistic inbound ip-group 2000
配置二:
<H3C> system-view
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 10.1.1.1 0.0.0.255
[H3C-acl-basic-2000] quit
[H3C] traffic-statistic vlan 2 inbound ip-group 2000
[H3C] reset traffic-statistic vlan 2 inbound ip-group 2000
& 說明:
僅H3C S5100-EI係列以太網交換機支持本配置。
確定了實際網絡環境需要啟動Burst功能。
表1-39 配置Burst功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置交換機支持Burst功能 |
burst-mode enable |
必選 缺省情況下,Burst功能處於關閉狀態 |
配置S5100-EI係列以太網交換機支持Burst功能。
配置步驟:
<H3C> system-view
[H3C] burst-mode enable
& 說明:
僅H3C S5100-EI係列以太網交換機支持本配置。
l
確定了進行流識別的ACL,具體配置請參見“ACL”部分的介紹
l
確定了鏡像源端口以及被鏡像報文的方向
l
確定了鏡像目的端口
用戶可以在全局、VLAN、端口組和端口配置流鏡像。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置當前端口為流鏡像目的端口 |
monitor-port |
必選 |
|
退出至係統視圖 |
quit |
- |
|
配置流鏡像 |
mirrored-to inbound acl-rule monitor-interface |
必選 |
表1-41 VLAN配置流鏡像
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置當前端口為流鏡像目的端口 |
monitor-port |
必選 |
|
退出至係統視圖 |
quit |
- |
|
配置流鏡像 |
mirrored-to vlan vlan-id inbound acl-rule monitor-interface |
必選 |
表1-42 端口組配置流鏡像
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置當前端口為流鏡像目的端口 |
monitor-port |
必選 |
|
退出至係統視圖 |
quit |
- |
|
進入端口組視圖 |
port-group
group-id |
- |
|
配置流鏡像 |
mirrored-to inbound acl-rule monitor-interface |
必選 |
表1-43 端口配置流鏡像
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置當前端口為鏡像目的端口 |
monitor-port |
必選 |
|
退出至係統視圖 |
quit |
- |
|
進入進行流鏡像配置的以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置流鏡像 |
mirrored-to inbound acl-rule monitor-interface |
必選 |
注意:
在全局或VLAN配置流鏡像時,用戶定義的流分類規則的優先級高於設備默認的處理協議報文規則的優先級,設備會執行流鏡像動作,因此可能會影響用戶通過Telnet等方式對設備進行管理。
組網需求:
l
端口GigabitEthernet 1/0/1屬於VLAN 2,接入了10.1.1.0/24網段
l
將來自10.1.1.0/24網段的報文鏡像到目的端口GigabitEthernet 1/0/4
配置一:
<H3C> system-view
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 10.1.1.0 0.0.0.255
[H3C-acl-basic-2000] quit
[H3C] interface GigabitEthernet 1/0/4
[H3C-GigabitEthernet1/0/4] monitor-port
[H3C-GigabitEthernet1/0/4] quit
[H3C] interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1] mirrored-to inbound ip-group 2000 monitor-interface
配置二:
<H3C> system-view
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 10.1.1.0 0.0.0.255
[H3C-acl-basic-2000] quit
[H3C] interface GigabitEthernet 1/0/4
[H3C-GigabitEthernet1/0/4] monitor-port
[H3C-GigabitEthernet1/0/4] quit
[H3C] mirrored-to vlan 2 inbound ip-group 2000 monitor-interface
完成上述配置後,在任意視圖下執行display命令,可以顯示配置QoS後的運行情況。通過查看顯示信息,用戶可以驗證配置的效果。
表1-44 QoS的顯示
|
操作 |
命令 |
說明 |
|
顯示協議報文的優先級 |
display protocol-priority |
display命令可以在任意視圖下執行 |
|
顯示“COS優先級->丟棄優先級”的映射關係 |
display qos cos-drop-precedence-map |
|
|
顯示“COS優先級->DSCP優先級”的映射關係 |
display qos cos-dscp-map |
|
|
顯示“COS優先級->本地優先級”的映射關係 |
display qos cos-local-precedence-map |
|
|
顯示“DSCP優先級->COS優先級”的映射關係 |
display qos dscp-cos-map |
|
|
顯示“DSCP優先級->丟棄優先級”的映射關係 |
display qos dscp-drop-precedence-map |
|
|
顯示“DSCP優先級->DSCP優先級”的映射關係 |
display qos dscp-dscp-map |
|
|
顯示“DSCP優先級->本地優先級”的映射關係 |
display qos dscp-local-precedence-map |
|
|
顯示隊列調度的配置信息 |
display queue-scheduler |
|
|
顯示端口的所有QoS配置信息 |
display qos-interface { interface-type interface-number | unit-id } all |
|
|
顯示端口的流量限速配置信息 |
display qos-interface { interface-type interface-number | unit-id } line-rate |
|
|
顯示交換機的優先級信任模式 |
display qos-interface { interface-type interface-number | unit-id } priority-trust |
|
|
顯示端口的流量監管配置信息 |
display qos-interface { interface-type interface-number | unit-id } traffic-limit |
|
|
顯示端口的優先級重標記配置信息 |
display qos-interface { interface-type interface-number | unit-id } traffic-priority |
|
|
顯示端口的流量整形配置信息 |
display qos-interface { interface-type interface-number | unit-id } traffic-shape |
|
|
顯示端口的流量統計配置信息 |
display qos-interface { interface-type interface-number | unit-id } traffic-statistic |
|
|
顯示端口的重定向配置信息 |
display qos-interface { interface-type interface-number | unit-id } traffic-redirect |
|
|
顯示端口的VLAN Mapping配置信息 |
display qos-interface { interface-type interface-number | unit-id } traffic-remark-vlanid |
|
|
顯示端口的流鏡像配置信息 |
display qos-interface { interface-type interface-number | unit-id } mirrored-to |
|
|
顯示全局的QoS配置信息 |
display qos-global { all
| mirrored-to | traffic-limit | traffic-priority | traffic-redirect
| traffic-statistic } |
|
|
顯示VLAN的QoS配置信息 |
display qos-vlan [
vlan-id ] { all | mirrored-to | traffic-limit
| traffic-priority | traffic-redirect | traffic-statistic } |
|
|
顯示端口組的QoS配置信息 |
display qos-port-group [ group-id ] { all | mirrored-to | traffic-limit
| traffic-priority | traffic-redirect | traffic-statistic } |
某公司內部通過S5100-EI以太網交換機實現各部門之間的互連,其中研發部門屬於VLAN 1,網段為192.168.1.0/24,通過端口GigabitEthernet 1/0/1接入交換機;市場部門屬於VLAN 2,網段為192.168.2.0/24,通過端口GigabitEthernet 1/0/2接入交換機。
要求配置流量監管,實現如下目的:
l
限製市場部門向外發送的IP報文的速率為64Kbps,丟棄超出限製的報文;
l
限製研發部門向外發送的IP報文的速率為128Kbps,丟棄超出限製的報文。
(1)
定義流分類規則
# 創建並進入基本ACL 2000視圖,對192.168.1.0/24網段的報文進行分類。
<H3C> system-view
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[H3C-acl-basic-2000] quit
# 創建並進入基本ACL 2001視圖,對192.168.2.0/24網段的報文進行分類。
[H3C] acl number 2001
[H3C-acl-basic-2001] rule permit source 192.168.2.0 0.0.0.255
[H3C-acl-basic-2001] quit
(2)
配置流量監管
# 限製市場部門向外發送的IP報文的速率為64Kbps,丟棄超出限製的報文。
[H3C] traffic-limit vlan 2 inbound ip-group 2001 64 exceed drop
# 限製研發部門向外發送的IP報文的速率為128Kbps,丟棄超出限製的報文。
[H3C] traffic-limit vlan 1 inbound ip-group 2000 128 exceed drop
& 說明:
僅H3C S5100-EI係列以太網交換機支持QoS Profile相關的配置。
QoS Profile是一組QoS配置的集合,一個QoS Profile中可以包含一個或多個QoS功能。在用戶移動的網絡環境中,可以針對不同的用戶製定QoS策略,然後放入QoS Profile中。當不同的用戶接入到交換機後,交換機將相應的QoS Profile應用到用戶接入的端口上,從而簡化了配置,方便對接入用戶進行管理。
目前QoS Profile功能可以為用戶提供包過濾、流量監管、優先級重標記功能。
QoS Profile功能可以和802.1x認證功能結合使用,為通過認證的一個用戶或者一組用戶提供預先配置的QoS功能。用戶在經過802.1x認證後,交換機根據AAA服務器上配置的用戶名和QoS Profile的對應關係,將相應的QoS Profile動態的應用到用戶登錄的端口上。
根據802.1x認證方式的不同,動態應用方式分為以下兩種模式:
l
User-based模式:交換機以QoS Profile中定義的流分類規則為模板,加入用戶的源MAC信息,生成新的流分類規則,然後將QoS Profile應用到用戶接入的端口。
l
Port-based模式:交換機直接將QoS Profile應用到用戶接入的端口。
注意:
使用User-based模式時,如果QoS Profile中的流分類規則定義了源信息(包括源MAC、源IP、源MAC+源IP),則QoS Profile不能應用成功。
用戶可以通過apply命令手工將QoS Profile應用到端口上。
表2-1 QoS Profile配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置QoS Profile |
必選 |
|
|
動態應用QoS Profile |
可選 |
|
|
手工應用QoS Profile |
可選 |
l
確定了進行流識別的ACL,具體配置請參見“ACL”部分的介紹
l
確定了QoS Profile提供的功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入QoS Profile視圖 |
qos-profile profile-name |
- |
|
配置流量監管 |
traffic-limit inbound acl-rule target-rate [ conform con-action ] [ exceed exceed-action ] [ meter-statistic ] |
可選 |
|
配置包過濾 |
packet-filter inbound acl-rule |
可選 關於包過濾的配置請參見“ACL”部分的介紹 |
|
配置優先級重標記 |
traffic-priority inbound acl-rule { dscp dscp-value | cos cos-value } |
可選 |
用戶可以配置QoS Profile的應用方式為動態應用或者手工應用。
l
如果采用動態應用方式,確定了全局和用戶接入的端口上已經啟動了802.1x認證功能以及QoS Profile的應用模式,關於802.1x 的具體配置請參見“802.1x及System-Guard”部分的介紹
l
如果采用手工應用方式,確定了應用QoS Profile的端口
l
確定了需要應用的QoS Profile
表2-3 動態應用QoS Profile
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入以太網端口視圖 |
interface interface-type interface-number |
- |
|
|
配置QoS Profile的動態應用模式 |
配置QoS Profile的應用模式為基於端口的應用模式 |
qos-profile port-based |
可選 缺省情況下,QoS Profile的應用模式為基於用戶的模式 l 如果802.1x配置為基於MAC地址認證,必須配置QoS Profile的應用模式為基於用戶的模式 l 如果802.1x配置為基於端口認證,必須配置QoS Profile的應用模式為基於端口的模式 |
|
配置QoS Profile的應用模式為基於用戶的應用模式 |
undo qos-profile port-based |
||
|
操作 |
命令 |
說明 |
||
|
進入係統視圖 |
system-view |
- |
||
|
手工應用QoS Profile到端口上 |
係統視圖下 |
apply qos-profile profile-name interface interface-list |
二者必選其一 缺省情況下,沒有應用QoS Profile到端口上 |
|
|
以太網端口視圖下 |
進入以太網端口視圖 |
interface interface-type interface-number |
||
|
應用QoS Profile到當前端口上 |
apply qos-profile profile-name |
|||
在完成上述配置後,在任意視圖下執行display命令,可以顯示配置QoS Profile後的運行情況。通過查看顯示信息,用戶可以驗證配置的效果。
|
操作 |
命令 |
說明 |
|
顯示QoS Profile的配置信息 |
display qos-profile { all | name profile-name | interface
interface-type interface-number | user user-name } |
display命令可以在任意視圖下執行 |
接入用戶的用戶名為someone,認證密碼為hello,從交換機的GigabitEthernet 1/0/1端口接入,用戶屬於test.net域。
要求配置QoS Profile,將用戶someone向外發送的報文的速率限製為128Kbps,丟棄超出限製的報文。
圖2-1 QoS Profile配置組網圖
(1)
AAA服務器上的配置
在AAA服務器上配置用戶的認證信息、用戶名和QoS Profile的對應關係,具體配置請參見AAA服務器的指導書。
(2)
Switch上的配置
# 配置RADIUS服務器的IP地址信息。
<H3C> system-view
[H3C] radius scheme radius1
[H3C-radius-radius1] primary authentication 10.11.1.1
[H3C-radius-radius1] primary accounting 10.11.1.2
[H3C-radius-radius1] secondary authentication 10.11.1.2
[H3C-radius-radius1] secondary accounting 10.11.1.1
# 設置交換機與認證和計費RADIUS服務器交互報文時的加密密碼。
[H3C-radius-radius1] key authentication money
[H3C-radius-radius1] key accounting money
# 指示交換機從用戶名中去除用戶域名後再將之傳給RADIUS服務器。
[H3C-radius-radius1] user-name-format without-domain
[H3C-radius-radius1] quit
# 創建用戶域test.net,指定radius1為該域用戶的RADIUS服務器組。
[H3C] domain test.net
[H3C-isp-test.net] radius-scheme radius1
[H3C-isp-test.net] quit
# 定義高級ACL 3000,分類規則為匹配目的為任意IP地址的IP報文。
[H3C] acl number 3000
[H3C-acl-adv-3000] rule 1 permit ip destination any
[H3C-acl-adv-3000] quit
# 定義QoS Profile,將匹配流分類規則的報文的速率限製為128Kbps,丟棄超出限製的報文。
[H3C] qos-profile example
[H3C-qos-profile-example] traffic-limit inbound ip-group 3000 128 exceed drop
# 啟動802.1x
[H3C] dot1x
[H3C] dot1x interface GigabitEthernet 1/0/1
完成以上配置後,用戶someone通過認證後將會自動應用example。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
