Traffic policy Huawei что это

У коммутаторов Huawei S-серии имеется возможность просмотра используемых аппаратных ресурсов (в частности, утилизации tcam) и перераспределения (для некоторых конфигураций модульных коммутаторов).

ACL

Ресурс ACL это в самом деле ресурс, используемый для traffic-policy (и прочих вариаций traffic-*) и, в некоторых случая, Selective QinQ (когда является особым traffic-policy). Имеется три типа ресурсов ACL – rule(классикация трафика), counter(подсчёт трафика), meter(ограничение скорости)
В случае с S9300 это выглядит следующим образом:

[Quidway]display acl resource slot 2 Slot 2 Vlan-ACL Inbound-ACL Outbound-ACL —————————————————————————- Rule Used 10 373 6 Rule Free 2038 7819 1018 Rule Total 2048 8192 1024 Meter Used 0 78 2 Meter Free 0 8114 1022 Meter Total 0 8192 1024 Counter Used 0 96 2 Counter Free 0 8096 1022 Counter Total 0 8192 1024 —————————————————————————-

HUAWEI S Series Switch-Configure Redirection for Policy Routing

Как видно из этой таблицы, ресурсы раздельны для traffic-policy по отношению к vlan, ingress ACL и egress ACL.

Применим следующую политику:

acl number 3456 rule 10 permit ip source 192.0.2.1 0 rule 20 permit ip source 192.0.2.3 0 # traffic classifier c3456 operator or if-match acl 3456 # traffic behavior b3456 statistic enable # traffic policy p3456 classifier c3456 behavior b3456 # interface GigabitEthernet2/0/17 traffic-policy p3456 inbound

И смотрим на изменившиеся значения ресурсов ACL:

Vlan-ACL Inbound-ACL Outbound-ACL —————————————————————————- Rule Used 10 375 6 Counter Used 0 98 2 —————————————————————————-

Как видно, использовано 2 единицы ресурса rule и 2 единицы counter (потому что 2 правила и по каждому нужно считать трафик(statistics enable в behavior)), meter не используется, т.к. скоростные политики не задействованы в этом traffic-policy.

Используя большие ACL или какой-либо функционал, генерирующий их динамически, нужно следить за исчерпанием этих ресурсов.

Selective QinQ

В зависимости от конкретной модели, selective QinQ может быть реализован по-разному (с точки зрения потреблени hw ресурсов). Раньше это вообще не выделялось в отдельную фичу и явным образом реализовывалось с помощью traffic-policy, суть которого “match c-vlan -> add s-vlan”(пример, архив)

В современном варианте, selective QinQ настраивается следующим образом (на S9300):

interface GigabitEthernet6/1/17 undo port hybrid vlan 1 port hybrid untagged vlan 1111 to 1112 port vlan-stacking vlan 3601 to 3699 stack-vlan 1111 port vlan-stacking vlan 3700 stack-vlan 1112

И занимает это 2 единицы аппаратного ресурса vlan_xlate:

//до применения vlan-stacking: [Quidway-hidecmd]display bcmfpi resource slot 6 l2 chip 0 vlan_xlate Query Result: Total:8192 Used :640 Free :7552 //после: [Quidway-hidecmd]display bcmfpi resource slot 6 l2 chip 0 vlan_xlate Query Result: Total:8192 Used :642 Free :7550

Чтобы просмотривать эти и другие записи, нужно воспользоваться командой “display bcmfpi table …”

Курс Huawei HCIA Datacom. Лекция 22. ACL Access Control List

Просматривать ресурсы acl тоже можно через display bcmfpi resource, но это менее удобно, чем через “display acl resource” и кроме того, команда “display bcmfpi” есть далеко не на всех свитчах.

Ресурсы l2, l3, mpls

По аналогии с vlan_xlate, ресурсы мак-таблицы, arp-таблицы, mpls-меток и т.д. можно смотреть с помощью “display bcmfpi resource”. Довольно быстро можно исчерпать ресурс mpls-меток, типичное максимальное значение которого – 8K. Проверить ресурс меток можно командой “display bcmfpi resource slot X mpls vc-swap-table”. Традиционные решения для минимизации этой таблицы – использование per-vrf label allocation и выделение меток в GRT только лупбэкам (а не каждому префиксу).

Перераспределение TCAM в сторону тех или иных ресурсов, для S9300, осуществляется командой “assign resource-mode X” (если есть что перераспределять)

Буферы коммутации

В отличии от предыдущих ресурсов, которые хранят те или иные таблицы/правила передачи трафика, буферы хранят непосредственно трафик. Значимость буферов коммутации была описана ранее (Burst vs буфер коммутации).
Для свитчей S5300HI см. заметку S5300HI interface buffers. Buffering issues (архив)

Для того, чтобы понять в какой очереди происходят дропы, на S9300 “display qos queue statistics interface GigabitEthernet 6/1/1”, на S5300(EI) “display qos port statistics interface GigabitEthernet 0/0/1”, предварительно включив сбор статистики командой “qos port statistics enable interface GigabitEthernet 0/0/1” (возможно только на одном порту)

Поделиться:

• Click to share on Twitter (Opens in new window)
• Click to share on Facebook (Opens in new window)
• Click to share on LinkedIn (Opens in new window)
• Click to share on Reddit (Opens in new window)

Источник: netlabsdotin.wordpress.com

Русские Блоги

В реальной корпоративной сети могут возникнуть различные потребности, которые требуют, чтобы мы контролировали трафик в Интернете. Среди них будут использоваться некоторые инструменты. В этой статье суммируется инструмент фильтрации маршрутизации оборудования Huawei. Общая идея управления трафиком заключается в том, что сначала используйте инструмент в соответствии с трафиком и захватом интереса, а затем стратегии в соответствии с потоком соответствия.

1. Соответствующий процентный трафик

1.1 ACL

Список контроля доступа ACL (список управления доступом) — это серия последовательных правил, состоящих из утверждений разрешения или отклонения. Он классифицируется по сопоставлению сообщений. Отмечено, что в ACL нас называют соотечественниками. Часть 0 должна быть одинаковой, а часть 1 может быть 0, а 1 может быть 1; и 0 и 1 может быть прерывистой.

Классификация ACL:

• Основной ACL: он в основном основан на адресе источника, отметки чипа и информации периода времени. Пакет данных классифицируется и определяется, а диапазон чисел составляет 2000-2999.
• Advanced ACL: он может быть основан на адресе источника, адреса назначения, номере исходного порта, номере порта назначения, типе протокола, приоритете, периоде времени и другой информации. Диапазон номеров составляет 3000-3999.
• Второй уровень ACL: в основном основан на такой информации, как Source MAC-адрес, MAC-адрес назначения и типы пакетов. Диапазон чисел составляет 4000-4999.
• Пользовательский ACL: в основном обработанные сообщения данных в соответствии с правилами, определенными пользователями правил, с ряд диапазона 5000-5999.

Один ACL может состоять из множества операторов «отрицание | разрешение», и в каждом утверждении описывается правило. После того, как устройство получит трафик данных, оно будет соответствовать правилам ACL один за другим, чтобы увидеть, соответствует ли оно. Если вы не совпадаете, продолжайте соответствовать следующему. После того, как нашел соответствующее правило, движение, определенное в правилах, будет выполнено, не продолжая соответствовать правилам последующего наблюдения; если правила сопоставления не будут найдены, устройство будет напрямую пересылать сообщение.

Следует отметить, что эти правила, определенные в ACL, могут иметь дублирование или противоречивое. Соответствие правил определяет приоритет правил, и ACL обрабатывает повторную или противоречивую ситуацию между правилами, устанавливая приоритет правил.

вопрос:ACL может гибко соответствовать префиксу IP -адреса, но не может соответствовать длине обложки. (Поскольку таблица маршрутизации может получать информацию о сегменте сети, может возникнуть ситуация, когда сеть полностью 0. В этом случае ACL не может быть точно сопоставлен.) Это приводит к нашему следующему инструменту:Список префикса адреса。

1.2 IP -Prefix List

Список префиксов адреса-это список IP-Prefix. Вы можете отфильтровать список префиксов адреса и маршрутизацию, которая соответствует определенному списку фильтрации префикса и фильтровал в соответствии с определенным режимом соответствия, чтобы удовлетворить потребности пользователя. Список IP-Prefix может соответствовать префиксу IP-адреса и длине маски одновременно; и его можно использовать только для фильтрации информации о маршрутизации, и не может быть отфильтрован с помощью IP-сообщений.

Правила композиции и сопоставления списка префиксов:

1. Список фильтров префикса состоит из IP -адреса и маски. IP -адрес может быть сетевым адресом или адресом хоста. Диапазон конфигурации составляет от 0 до 32.
2. Каждый IP-Prefix в списке IP-Prefix имеет индекс серийного номера. При сопоставлении он будет соответствовать серийному номеру от малого до большого.
3. Если IPEX IP-Prefix не настроен, соответствующий индекс основан на индексе IP-Prefix того же имени IP-Prefix. Если имя IP-Prefix совпадает с списком IP-Prefix, который был настроен, то просто содержимое сопоставления только отличается, тогда список IP-Prefix будет охватывать исходный IP-Prefix список.
4. Когда все фильтры префикса не сопоставлены, последний режим соответствия по умолчанию является DENA в ситуации по умолчанию. Когда указанный список фильтров префикса не существует, режим соответствия по умолчанию разрешено

Прилив маски префикса:

Список фильтров префикса может быть точно сопоставлен или сопоставлен в определенном диапазоне длины маски, и определяет диапазон длины длины крышки префикса путем настройки ключевого слова с большим равным и менее равным. Если нет ключевых слов более равных или менее равных, список фильтров префикса будет точно сопоставлен , То есть только маршрутизация IP-адреса с тем же покрытием маски, такой же, как и список фильтров префикса. Если настроен только ключевое слово больше, то диапазон длины крышки подходит из указанного значения большего. -Корально до 32-битного уровня; если сопоставлено только ключевое слово, менее равное, диапазон длины маски, подлежащего сопоставлению, является указанным значением от указанной маски до ключевого слова, менее равного.

2. Стратегия маршрута

После сопоставления трафика, некоторые стратегии должны быть сделаны на трафике. Здесь также есть два инструмента, которые Фильтра-политика и маршрут-политика.

2.1 Filter-Policy

Фильтра-политика может только отфильтровать приемную или опубликованную маршрутизацию, которая может быть применена к ISIS, OSPF, протоколам BGP.

Инструмент фильтра-политики в каждом протоколе может быть отфильтрован с помощью ссылочных списков ACL или адреса адреса.

Для протокола вектора расстояния и протокола состояния канала, процесс работы инструмента фильтра-политика отличается:

(1) Протокол вектора расстояния основан на таблице маршрутизации для генерации маршрутизации, поэтому фильтр будет влиять на маршрут, полученный от соседа, и маршрутизацию, размещенную для соседа.

(2) Протокол маршрутизации состояния канала основан на базе данных состояния ссылки для генерации маршрутизации, а информация о маршруте скрыта в LSA состояния ссылки, но фильтр-политика не может фильтровать опубликованный и полученный LSA, поэтому Filter-Polcy не влияет на целостность уведомления о состоянии ссылки или базы данных о состоянии ссылки и таблица маршрутизации протокола, повлияет только на таблицу локальной маршрутизации, и Только через фильтрацию маршрутизацию будут добавлены в таблицу маршрутизации, а маршрутизация, которая не проходит через фильтрацию, не будет добавлена ​​в таблицу маршрутизации.

(3) Различные протоколы применяют команды экспорта фильтра-политики для лечения влияния маршрутов публикации:

• Для протокола вектора расстояния информация о маршрутизации и информация о маршрутизации, обнаруженная этим протоколом, будут отфильтрованы.
• Для протокола состояния ссылки фильтруется только введенная информация о маршруте.

2.2 Route-Policy

Route-Policy-это очень мощный инструмент стратегии маршрутизации, который можно гибко использовать с другими инструментами, такими как ACL, IP-Prefix, AS-Path Filter.

Route-Policy имеет несколько композиций узлов, а узел-это «или» отношения. И в каждом узле может быть несколько IF-матча и применить, а взаимосвязь между MATCH-это отношения между «и».

Каждый узел маршрута-политика имеет соответствующий режим разрешения или режим отказа. Если это режим разрешения, когда элемент маршрутизации соответствует всем предложениям о IF-матче узла, ему разрешено отфильтровать через узел и выполнять предложение применения узла и больше не входить в следующий узел; если элемент маршрута делает Не должен удовлетворять все предложения о том, что узел, если он введет следующий узел, чтобы продолжить фильтрацию. Если это отрицательный режим, элемент маршрутизации соответствует всем IF узела -Матчевые положениям было отказано в передаче фильтра узла. В настоящее время классы применения не будут выполнены и не будут входить в следующий узел; в противном случае введите следующий узел, чтобы продолжить фильтрацию.

Пример:

• PREF1 используется в соответствии с 5.5.5.5/32 или 1.1.2.0/24, который будет отфильтрован узлом 10 RP-Policy RP, поэтому менее 5.5.5.5/32 и 1.1.2.0/ 1.1.2.0/ Twenty четыре
• PREF2 используется для фильтрации 6.6.6.6/32 (deny), поэтому, хотя узел 20 RP-Policy RP разрешен, 6.6.6.6/32 все еще будет отфильтрован. Следовательно, менее 6,6.6.6/32 в таблице 2.
• Узел RP-Policy RP 30 определяет два оператора IF-Match для ACL 2001 и ACL 2002 соответственно. Маршрутизация ACL 2001 составляет 1.1.3.0/24 (следующий прыжок составляет 34,34,34,2), 1.1.3.0/24 (следующий прыжок составляет 13.13.13.1), 1.1.3.0/25 (следующий прыжок 34,34.34.2) , 1.1.3.0/25 (следующий прыжок составляет 13.13.13.1), и в то же время маршрут ACL 2002 составляет 1.1.3.0/24 (следующий прыжок — 13.13.13.1) и 1.1.3.0/25 .13.1 ) В результате 1.1.3.0/24 (следующий прыжок составляет 13.13.13.1) и 1.1.3.0/25 (следующий прыжок составляет 13.13.13.1) модифицируется на 21.
• 1.1.3.0/24 (следующий прыжок составляет 34,34,34,2) и 1.1.3.0/25 (следующий прыжок составляет 34,34,34,2), чтобы продолжить попробовать узел 40 маршрута-политика RP. Поскольку 1.1.3.0/25 встречается с Pref3, 1.1.3.0/25 (следующий прыжок 34,34,34,2) модифицируется на 11.
• Наконец, 1.1.3.0/24 (следующий прыжок был 34,34,34,2) прошел узел 50 Route-Policy RP.

3. Экспериментальная конфигурация

Требования к адресу и конфигурации показаны на рисунке. Примечание. Малый адрес маршрутизатора составляет .1, а большой адрес маршрутизатора составляет .2. Здесь мы используем протокол OSPF, чтобы сделать их совместимыми

Адрес и конфигурация OSPF:

R1： interface GigabitEthernet0/0/0 ip address 13.1.1.1 255.255.255.0 interface LoopBack0 ip address 10.1.4.1 255.255.255.0 # ospf 1 area 0.0.0.0 network 10.1.4.0 0.0.0.255 network 13.1.1.0 0.0.0.255 R2: interface GigabitEthernet0/0/0 ip address 23.1.1.1 255.255.255.0 interface LoopBack0 ip address 10.1.5.1 255.255.255.0 # ospf 1 area 0.0.0.0 network 10.1.5.0 0.0.0.255 network 23.1.1.0 0.0.0.255 R3: interface GigabitEthernet0/0/0 ip address 13.1.1.2 255.255.255.0 interface GigabitEthernet0/0/1 ip address 23.1.1.2 255.255.255.0 interface GigabitEthernet0/0/2 ip address 34.1.1.1 255.255.255.0 # ospf 1 area 0.0.0.0 network 13.1.1.0 0.0.0.255 network 23.1.1.0 0.0.0.255 network 34.1.1.0 0.0.0.255 R4: interface GigabitEthernet0/0/0 ip address 34.1.1.2 255.255.255.0 interface LoopBack0 ip address 10.1.1.1 255.255.255.0 interface LoopBack1 ip address 10.1.2.1 255.255.255.0 interface LoopBack2 ip address 10.1.3.1 255.255.255.0 # ospf 1 import-route direct area 0.0.0.0 network 34.1.1.0 0.0.0.255

Стратегия маршрутизации конфигурации:

Идея:Согласно требованиям, департамент маркетинга не может получить доступ, финансовый департамент и отдел исследований и разработок, а штаб -квартира компании не может получить доступ к отделу исследований и разработок, поэтому мы можем выполнять стратегии на R1, чтобы отказаться от движения Министерства финансов, когда Представление сегмента сетевого отдела исследований и разработок может быть исключено, то есть маршрутизатор R3 не может извлечь уроки из сегмента сегмента отдела НИОКР.

R1: # acl number 2000 rule 5 deny source 10.1.1.0 0.0.0.255 rule 10 permit any # ospf 1 filter-policy 2000 import R4: # ip ip-prefix ab index 10 permit 10.1.1.0 24 ip ip-prefix ab index 20 permit 10.1.3.0 24 # ospf 1 filter-policy ip-prefix ab export direct

Все еще может использоваться на R4 Маршрут-политика для реализации:

acl 2000 rule 0 permit source 10.1.1.0 0.0.0.255 rule 5 permit source 10.1.3.0 0.0.0.255 route-policy huawei-control permit node 10 if-match acl 2000 ospf 1 import-route direct route-policy huawei-control

Источник: russianblogs.com

Traffic policy huawei что это

Настройка QoS на Huawei S2300 по меткам DSCP

Опубликовано 20161125 автором qos1

Команды вводим из system view:

traffic classifier dscp-be operator and
if-match ip-precedence 0 1
traffic classifier dscp-af2 operator and
if-match ip-precedence 2
traffic classifier dscp-af3 operator and
if-match ip-precedence 3
traffic classifier dscp-af4 operator and
if-match ip-precedence 4
traffic classifier dscp-ef operator and
if-match ip-precedence 5
traffic classifier dscp-cs6 operator and
if-match ip-precedence 6 7
traffic behavior dscp-be
remark 8021p 0
traffic behavior dscp-af2
remark 8021p 2
traffic behavior dscp-af3
remark 8021p 3
traffic behavior dscp-af4
remark 8021p 4
traffic behavior dscp-ef
remark 8021p 5
traffic behavior dscp-cs6
remark 8021p 6
traffic policy dscp-cos
classifier dscp-be behavior dscp-be
classifier dscp-af2 behavior dscp-af2
classifier dscp-af3 behavior dscp-af3
classifier dscp-af4 behavior dscp-af4
classifier dscp-ef behavior dscp-ef
classifier dscp-cs6 behavior dscp-cs6

На аплинках прописываем:

traffic-policy dscp-cos inbound
trust 8021p

Источник: qos1.wordpress.com