华为数据中心5800交换机01-13 流量统计配置
华为数据中心5800交换机01-12 组播VLAN配置
12组播VLAN配置12.1 组播VLAN的简介介绍组播VLAN的定义和目的。
定义组播VLAN全称Multicast VLAN,用于将接收到的相同的组播数据在不同的用户VLAN进行复制分发。
目的二层组播侦听功能很好的弥补了组播数据如果到达的是二层广播网络,就会进行广播的缺陷。
但是这种功能是基于一个广播域,即基于VLAN来实现的。
如果不同VLAN的用户有相同的组播数据需求时,上游路由器仍然需要发送多份相同报文到不同VLAN中。
通过在二层设备上配置组播VLAN功能就可以解决这个问题,它实现了在二层网络设备上进行跨VLAN组播复制。
在二层设备上部署了组播VLAN功能后,上游路由器不必在每个用户VLAN内都复制一份组播流,而是数据流在组播VLAN内复制一份后发送给二层设备。
这样就避免了组播流在上游路由器的重复复制,不仅节省了网络带宽,又减轻了上游路由器的负担。
12.2 组播VLAN原理描述介绍组播VLAN功能的实现原理。
基于用户VLAN的组播VLAN交换机支持将用户VLAN与组播VLAN进行绑定,实现在不同的用户VLAN间进行组播报文复制。
基于用户VLAN的组播VLAN功能提供了组播VLAN复制功能中最核心的功能:上游设备只需要向配置了组播VLAN的交换机上发送一份组播数据,然后交换机再将其复制分发到有相同组播需求的不同用户VLAN中,从而减少了上游设备与交换机之间的带宽浪费,即如图12-1所示。
图12-1 基于用户VLAN 的组播VLAN示意图Multicast Packet VLAN 2VLAN 3VLAN 4VLAN 5 (multicast VLAN)No multicast VLANconfiguredMulticast VLAN configured基于接口的组播VLAN交换机支持在用户侧接口下配置用户VLAN 与组播VLAN 进行绑定,不仅能够实现组播数据在不同用户VLAN 间进行复制,还可以实现基于接口的组播业务隔离。
华为数据中心5800交换机01-01 接口基础配置
1接口基础配置关于本章1.1 接口简介通过本小节,您可以了解到设备的接口分类和接口编号规则。
1.2 配置接口基本参数配置接口基本参数,包括接口描述信息、接口流量统计时间间隔功能以及开启或关闭接口。
1.3 维护接口您可以通过清除接口统计信息以方便查询一定时间内接口的流量信息。
1.1 接口简介通过本小节,您可以了解到设备的接口分类和接口编号规则。
接口分类接口是设备与网络中的其它设备交换数据并相互作用的部件,分为管理接口、物理业务接口和逻辑接口三类,其中:l管理接口管理接口主要为用户提供配置管理支持,也就是用户通过此类接口可以登录到设备,并进行配置和管理操作。
管理接口不承担业务传输。
关于管理接口的详细配置,请参见《CloudEngine 7800&6800&5800系列交换机配置指南-基础配置》。
设备支持的管理接口如表1-1所示:表1-1各管理接口介绍l V100R005C00版本下,仅CE6850-48S6Q-HI支持Mini USB接口。
V100R005C10及以后版本,CE6850-48S6Q-HI、CE6850–48T4Q-HI和CE6850U-HI支持Mini USB接口。
l CE6850HI和CE6850U-HI设备上有两个Combo类型的管理接口,每个Combo口包括一个光接口和一个电接口。
光接口和电接口只能同时激活其中一个。
l物理业务接口物理业务接口是真实存在、有器件支持的接口。
物理接口需要承担业务传输。
物理接口有时也被称为端口,为便于描述,在本手册中,统一描述为接口。
设备支持的物理接口如表1-2所示。
表1-2物理接口缺省情况下,设备的以太网接口工作在二层模式,如果需要应用接口的三层功能,可以使用undo portswitch命令将接口转换为三层模式。
l逻辑接口逻辑接口是指能够实现数据交换功能但物理上不存在、需要通过配置建立的接口。
逻辑接口需要承担业务传输。
设备支持的逻辑接口如表1-3所示。
华为数据中心5800交换机01-03 ACL配置
3 ACL配置关于本章设备为了对不同类的报文进行不同的处理,需要配置一系列的规则,以对报文进行分类,这些规则就是通过访问控制列表ACL定义的。
3.1 ACL简介介绍ACL的定义和作用。
3.2 原理描述介绍ACL的实现原理。
3.3 应用场景介绍ACL的应用场景。
3.4 配置注意事项介绍配置ACL的注意事项。
3.5 缺省配置介绍ACL缺省配置,实际应用的配置可以基于缺省配置进行修改。
3.6 配置ACL介绍ACL详细的配置过程。
3.7 维护ACL维护ACL包括清除ACL的统计信息。
3.8 配置举例介绍ACL的配置举例。
配置示例中包括组网需求、配置思路、操作步骤等。
3.9 参考标准和协议介绍ACL的参考标准和协议。
3.1 ACL简介介绍ACL的定义和作用。
定义访问控制列表ACL(Access Control List)是由一系列规则组成的集合,ACL通过这些规则对报文进行分类,从而使设备可以对不同类报文进行不同的处理。
目的网络中的设备相互通信时,需要保障网络传输的安全可靠和性能稳定。
例如:l防止对网络的攻击,例如IP(Internet Protocol)报文、TCP(Transmission Control Protocol)报文、ICMP(Internet Control Message Protocol)报文的攻击。
l对网络访问行为进行控制,例如企业网中内、外网的通信,用户访问特定网络资源的控制,特定时间段内允许对网络的访问。
l限制网络流量和提高网络性能,例如限定网络上行、下行流量的带宽,对用户申请的带宽进行收费,保证高带宽网络资源的充分利用。
ACL的出现,有效地解决了上述问题,切实保障了网络传输的稳定性和可靠性。
3.2 原理描述介绍ACL的实现原理。
3.2.1 ACL的基本原理ACL负责管理用户配置的所有规则,并提供报文匹配规则的算法。
ACL的规则管理每个ACL作为一个规则组,可以包含多个规则。
规则通过规则ID(rule-id)来标识,规则ID可以由用户进行配置,也可以由系统自动根据步长生成。
华为数据中心5800交换机01-03 MPLS QoS配置
3 MPLS QoS配置关于本章在MPLS网络中,通过配置MPLS QoS,对企业的网络流量进行调控,避免并管理网络拥塞,减少报文的丢失率,同时也可以为企业用户提供专用带宽或者为不同的业务(语音、视频、数据等)提供差分服务。
3.1 MPLS QoS简介介绍MPLS QoS的定义、由来和作用。
3.2 原理描述介绍MPLS QoS的实现原理。
3.3 配置注意事项介绍部署MPLS QoS的注意事项。
3.4 缺省配置介绍优先级映射表和缺省取值。
3.5 配置MPLS公网QoS通过配置MPLS公网的QoS功能,实现在MPLS网络中区分不同业务的优先级,从而提供差异化的服务。
3.6 参考信息介绍MPLS QoS的相关RFC清单。
3.1 MPLS QoS简介介绍MPLS QoS的定义、由来和作用。
定义MPLS QoS是部署QoS(Quality of Service)业务的重要组成部分,在实际的MPLS组网方案中往往通过差分服务(DiffServ)模型来实施QoS。
它可以为每个通过MPLS网络的业务提供指定的服务,并提供差异化的服务类型来满足各种需求。
目的MPLS使用标签转发替代了传统的路由转发,功能强大、灵活,可以满足各种新应用对网络的要求,而且MPLS支持多种网络协议(如IPv4、IPv6等)。
目前MPLS被广泛地应用于大规模网络的组建,而在MPLS网络中,无法通过IP QoS来实现服务质量(QoS),所以在MPLS网络中实现服务质量也就应运而生,即MPLS QoS。
与传统IP QoS根据IP报文的优先级来区分业务的服务等级类似,MPLS QoS根据报文的EXP来区分不同的数据流,实现差分服务,保证语音、视频数据流的低延时、低丢包率,保证网络的高利用率。
3.2 原理描述介绍MPLS QoS的实现原理。
3.2.1 MPLS DiffServ实现方案DiffServ的基本机制是在IP网络边缘,根据业务的服务质量要求将该业务映射到特定的业务类别中,利用IP报文中的DS(Differentiated Service)字段(由ToS(Type ofService)域而来)唯一的标记该类业务,然后骨干网络中的各节点根据该字段对各种业务采取预先设定的服务策略,保证相应的服务质量(具体描述请参见《CloudEngine8800&7800&6800&5800系列交换机配置指南-QoS》中的“优先级映射配置”)。
华为数据中心5800交换机01-10 路由策略配置
l permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性 进行设置。
l deny:路由将被拒绝通过。
当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点 都匹配失败,路由信息将被拒绝通过。
文档版本 06 (2017-09-12)
华为专有和保密信息
675
版权所有 © 华为技术有限公司
CloudEngine 8800&7800&6800&5800 系列交换机 配置指南-IP 单播路由
10 路由策略配置
10.1 路由策略简介
介绍路由策略的定义、由来和作用。
定义
路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可 达性)来改变网络流量所经过的路径。
– 在RouterC上配置另外一个地址前缀列表,并且配置OSPF利用该地址前缀列 表作为RouterC的入口策略。
l 使用路由策略
– 在RouterA上配置路由策略(其中匹配条件可以是地址前缀列表、路由cost、 路由标记Tag等),并且配置OSPF利用该路由策略作为RouterA的出口策略。
– 在RouterC上配置另外一个路由策略,并且配置OSPF利用该路由策略作为 RouterC的入口策略。
CloudEngine 8800&7800&6800&5800 系列交换机 配置指南-IP 单播路由
10 路由策略配置
10 路由策略配置
关于本章
路由策略是为了改变网络流量所经过的途径而对路由信息采用的方法。
华为数据中心5800交换机01-01接口基础配置
华为数据中心5800交换机01-01接口基础配置1接口基础配置关于本章1.1 接口简介通过本小节,您可以了解到设备的接口分类和接口编号规则。
1.2 配置接口基本参数配置接口基本参数,包括接口描述信息、接口流量统计时间间隔功能以及开启或关闭接口。
1.3 维护接口您可以通过清除接口统计信息以方便查询一定时间内接口的流量信息。
1.1 接口简介通过本小节,您可以了解到设备的接口分类和接口编号规则。
接口分类接口是设备与网络中的其它设备交换数据并相互作用的部件,分为管理接口、物理业务接口和逻辑接口三类,其中:l管理接口管理接口主要为用户提供配置管理支持,也就是用户通过此类接口可以登录到设备,并进行配置和管理操作。
管理接口不承担业务传输。
关于管理接口的详细配置,请参见《CloudEngine 7800&6800&5800系列交换机配置指南-基础配置》。
设备支持的管理接口如表1-1所示:表1-1各管理接口介绍l V100R005C00版本下,仅CE6850-48S6Q-HI支持Mini USB 接口。
V100R005C10及以后版本,CE6850-48S6Q-HI、CE6850–48T4Q-HI和CE6850U-HI支持Mini USB接口。
l CE6850HI和CE6850U-HI设备上有两个Combo类型的管理接口,每个Combo口包括一个光接口和一个电接口。
光接口和电接口只能同时激活其中一个。
l物理业务接口物理业务接口是真实存在、有器件支持的接口。
物理接口需要承担业务传输。
物理接口有时也被称为端口,为便于描述,在本手册中,统一描述为接口。
设备支持的物理接口如表1-2所示。
表1-2物理接口缺省情况下,设备的以太网接口工作在二层模式,如果需要应用接口的三层功能,可以使用undo portswitch命令将接口转换为三层模式。
l逻辑接口逻辑接口是指能够实现数据交换功能但物理上不存在、需要通过配置建立的接口。
华为数据中心5800交换机01-13 URPF配置
13 URPF配置关于本章配置URPF可以用来防止基于源地址欺骗的网络攻击行为。
13.1 URPF概述URPF是单播逆向路径转发的简称。
13.2 原理描述介绍URPF的实现原理。
13.3 应用场景介绍URPF的应用场景。
13.4 配置注意事项介绍配置URPF的注意事项。
13.5 缺省配置介绍URPF缺省配置,实际应用的配置可以基于缺省配置进行修改。
13.6 配置URPF介绍配置URPF具体命令和步骤。
13.7 配置举例通过示例介绍如何配置URPF。
配置示例中包括组网需求、配置思路等。
13.1 URPF概述URPF是单播逆向路径转发的简称。
拒绝服务DoS(Denial of Service)攻击是一种阻止连接服务的网络攻击。
DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。
URPF(Unicast Reverse Path Forwarding)在FIB(Forwarding Information Base)表中查找数据包的IP(Internet Protocol)源地址是否与数据包的源接口相匹配,如果没有匹配表项将丢弃该数据包,从而预防IP欺骗,特别是针对伪造IP源地址的DoS攻击非常有效。
图13-1 URPF原理如图13-1所示,在SwitchA上伪造源地址为2.1.1.1的报文向SwitchB发起请求,SwitchB响应请求时将向真正的“2.1.1.1”即SwitchC发送报文。
这种非法报文对SwitchB和SwitchC都造成了攻击。
如果在SwitchB上启用URPF严格检查,则SwitchB在收到源地址为2.1.1.1的报文时,URPF检查到以此报文源地址对应的接口与收到该报文的接口不匹配,报文会被丢弃。
13.2 原理描述介绍URPF的实现原理。
工作模式在复杂的网络环境中应用URPF时,会遇到路由不对称的情况,即对端设备记录的路由路径不一样,此时使能URPF的设备可能丢弃合法报文,造成设备不能正确转发。
华为交换机流量统计
进行流量统计,确认报文的收发情况。 步骤如下: a、先定义acl,匹配ping的源、目的IP地址: # acl number 3333 rule 5 permit udp source x.x.x.x 0 destination y.y.y.y 0 rule 10 permit udp source y.y.y.y 0 destination x.x.x.x 0 # b、再定义流分类、流行为 # traffic classifier 3333 if-match acl 3333 # traffic behavior 3333 statistic enable # traffic policy 3333 classifier 3333 behavior 3333 # c、然后在端口上应用流策略,inbound方向和outbound方向,进行统计。 如: # interface GigabitEthernet5/0/34 traffic-policy 3333 inbound traffic-policy 3333 outbound # d、进行ping操作,查看流量统计情况。 如: display traffic policy statistics interface GigabitEthernet 5/0/34 inbound display traffic policy statistics interface GigabitEthernet 5/0/34 outbound 如果outbound方向没有统计计数,说明报文没有发送出去; 如果inbound方向没有统计计数,说明没有收到应答报文; 统计计数清除命令参考: reset traffic policy statistics interface GigabitEthernet 5/0/34 inbound reset traffic policy statistics interface GigabitEthernet 5/0/34 outbound
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
13流量统计配置13.1 流量统计简介通过MQC实现流量统计。
配置MQC实现流量统计后,设备将对符合流分类规则的报文进行报文数和字节数的统计,可以帮助用户了解应用流策略后流量通过和被丢弃的情况,由此分析和判断流策略的应用是否合理,也有助于进行相关的故障诊断与排查。
只有配置MQC实现流量统计后,才可以通过display traffic-policy statistics命令查看应用流策略后流量通过和被丢弃的情况。
流量统计与接口统计的区别如表13-1所示。
表13-1流量统计与接口统计的区别13.2 应用场景介绍流量统计的应用场景。
流量统计的应用数据中心网络中,租户通过Switch连接到外部网络设备。
租户上送的报文中,存储业务报文的802.1p优先级为6,数据业务报文的802.1p优先级为2。
租户希望对存储业务报文进行流量统计,以确定带宽资源的分配。
如图13-1所示。
图13-1 流量统计应用组网图入方向配置流量统计业务部署l 配置流分类,匹配规则为802.1p 优先级为6,从而区分存储业务报文。
l 配置流行为,在流行为中配置流量统计。
l配置流策略,绑定以上流分类和流行为,并应用在Switch 的入方向,实现对存储业务报文的流量统计。
13.3 配置注意事项介绍流量统计的配置注意事项。
涉及网元无需其他网元配合。
License 支持流量统计是设备的基本特性,无需获得License 许可即可应用此功能。
版本支持表13-2支持本特性的最低软件版本特性依赖和限制l对于CE6870EI,包含流量统计的流策略在出方向应用时,仅支持物理接口以及子接口。
l缺省情况下,设备计算流量统计数据时,不包含帧间隙和前导码。
从V100R005C00版本开始,可以通过配置qos statistics ifg enable命令,使得设备计算流量统计数据时包含帧间隙和前导码。
l当流策略中配置的规则比较多的情况下,如果先清除了统计信息,再查看流量统计,可能会出现统计信息显示为空的情况,请等待一段时间再进行统计信息的查看。
l对于CE6870EI,设备出方向配置流量统计后,将不支持配置出方向的接口限速、队列流量整形、ETS、PFC功能。
l VLAN流量统计、VLANIF流量统计、MQC流量统计三者之间存在优先级顺序,优先级高的统计功能生效,具体如表13-3所示。
表13-3流量统计优先级关系l对于CE6870EI,BD流量统计、MQC流量统计、VXLAN隧道流量统计的功能存在优先级顺序(优先级高低顺序从左至右),同时配置时只有优先级高的流量统计功能生效。
l对于CE6870EI,当基于Eth-trunk口进行出方向MQC流量统计时,存在对UP状态成员口中组播报文重复计数的现象。
当基于全局进行出方向MQC流量统计时,如果出端口包含Eth-trunk口,也会存在对UP状态成员口中组播报文重复计数的现象。
l包含较多规则的流策略定义流量统计动作,基于实例或流分类去查询统计计数常会出现命令行执行卡顿,网管通过MIB查询超时等现象。
缺省情况下,MIB查询超时时间为5秒钟,只能查询不超过1024条规则的流策略中的统计数据。
所以当流策略中包含规则数超过1024条时,请根据实际数据量修改MIB工具查询超时时间,且统计的数据为设备的缓存数据。
13.4 配置流量统计(非CE6870EI)介绍MQC实现流量统计详细的配置过程。
背景信息配置流量统计后,设备将对符合流分类规则的报文进行流量统计,可以帮助用户了解应用流策略后报文通过和被丢弃的情况,由此分析和判断流策略的应用是否合理,也有助于进行相关的故障诊断与排查。
操作步骤1.配置流分类a.执行命令system-view,进入系统视图。
b.执行命令traffic classifier classifier-name [ type { and | or } ],创建一个流分类并进入流分类视图,或进入已存在的流分类视图。
and表示流分类中各规则之间关系为“逻辑与”,指定该逻辑关系后:n当流分类中有ACL规则时,报文必须匹配其中一条ACL规则以及所有非ACL规则才属于该类;n当流分类中没有ACL规则时,则报文必须匹配所有非ACL规则才属于该类。
or表示流分类各规则之间是“逻辑或”,即报文只需匹配流分类中的一个或多个规则即属于该类。
缺省情况下,流分类中各规则之间的关系为“逻辑或”。
c.执行命令if-match,定义流分类中的匹配规则。
流分类中可定义的规则有很多种,详细内容可参见《CloudEngine8800&7800&6800&5800系列交换机 QoS业务配置指南-MQC配置》中的“配置流分类”部分。
d.执行命令commit,提交配置。
e.执行命令quit,退出流分类视图。
2.配置流行为a.(可选)执行命令qos statistics ifg enable,配置流量统计时包括以太网帧的帧间隙和前导码。
b.执行命令traffic behavior behavior-name,创建一个流行为并进入流行为视图,或进入已存在的流行为视图。
c.执行命令statistics enable,使能流量统计功能。
缺省情况下,流行为中未使能流量统计功能。
d.执行命令commit,提交配置。
e.执行命令quit,退出流行为视图。
f.执行命令quit,退出系统视图。
3.配置流策略a.执行命令system-view,进入系统视图。
b.执行命令traffic policy policy-name,创建一个流策略并进入流策略视图,或进入已存在的流策略视图。
c.执行命令classifier classifier-name behavior behavior-name [ precedenceprecedence-value ],在流策略中为指定的流分类配置所需流行为,即绑定流分类和流行为。
d.执行命令commit,提交配置。
e.执行命令quit,退出流策略视图。
f.执行命令quit,退出系统视图。
4.应用流策略各视图下应用流策略的注意事项,请参见2.2 配置注意事项。
–在接口上应用流策略i.执行命令system-view,进入系统视图。
ii.执行命令interface interface-type interface-number[.subinterface-number ],进入接口视图或子接口视图。
iii.执行命令traffic-policy policy-name { inbound | outbound },在接口上应用流策略。
iv.执行命令commit,提交配置。
–在VLAN上应用流策略i.执行命令system-view,进入系统视图。
ii.执行命令vlan vlan-id,进入VLAN视图。
iii.执行命令traffic-policy policy-name { inbound | outbound },在VLAN上应用流策略。
应用后,系统对属于该VLAN并匹配流分类中规则的入方向或出方向报文实施策略控制。
iv.执行命令commit,提交配置。
–在全局应用流策略i.执行命令system-view,进入系统视图。
ii.执行命令traffic-policy policy-name global [ slot slot-id ] { inbound | outbound },在全局上应用流策略。
iii.执行命令commit,提交配置。
–在VPN实例上应用流策略i.执行命令system-view,进入系统视图。
ii.(可选)执行命令qos port-group group-id,创建并进入QoS端口组视图。
iii.(可选)执行命令group-member { interface-type interface-number1 [ to interface-type interface-number2 ] },将接口添加到指定QoS端口组中。
iv.(可选)执行命令quit,退出QoS端口组视图。
v.执行命令ip vpn-instance vpn-instance-name,创建VPN实例,并进入VPN 实例视图。
vi.执行命令traffic-policy policy-name inbound [ exclude qos port-group group-id ],在VPN实例上应用流策略。
vii.执行命令commit,提交配置。
–在QoS组上应用流策略i.执行命令system-view,进入系统视图。
ii.执行命令qos group group-name,进入QoS组视图。
iii.请根据需要选择配置:○执行命令group-member interface { interface-type interface-number1 [ to interface-type interface-number2 ] } &<1-8>,将接口添加到指定QoS组中。
○(对于CE6870EI)执行命令group-member vlan { vlan-id1 [ to vlan-id2 ] } &<1-8>,将VLAN添加到指定QoS组中。
○(对于非CE6870EI)执行命令group-member ip source ip-address { mask | mask-length },将源IP地址添加到指定QoS组中。
iv.执行命令traffic-policy policy-name inbound,在QoS组上应用流策略。
v.执行命令commit,提交配置。
–在广播域BD上应用流策略i.执行命令system-view,进入系统视图。
ii.执行命令bridge-domain bd-id,进入BD视图。
iii.执行命令traffic-policy policy-name { inbound | outbound },在BD上应用流策略。
iv.执行命令commit,提交配置。
检查配置结果l执行命令display traffic classifier [ classifier-name ],查看已配置的流分类信息。
l执行命令display traffic behavior [ behavior-name ],查看已配置的流行为信息。
l执行命令display traffic policy [ policy-name [ classifier classifier-name ] ],查看已配置的流策略信息。
l执行命令display traffic-policy applied-record [ policy-name ] [ global [ slot slot-id ] | interface interface-type interface-number | vlan vlan-id | vpn-instance vpn-instance-name | qos group group-id | bridge-domain bd-id ] [ inbound | outbound ],查看指定流策略的应用记录。