路由器配置acl

通过acl设置限制规则
基本acl；

acl number 2001
description ######
rule 10 deny source 10.1.1.0 0.0.0.255
rule 20 deny source 10.2.2.0 0.0.0.255
rule 30 deny source 10.3.3.0 0.0.0.255
高级acl

acl number 3012
description ######
rule 5 deny tcp destination 192.168.2.2 0 none-first-fragment
rule 10 permit tcp destination 192.168.2.2 0 destination-port eq www
rule 15 deny ip
————————————————
配置alc 流类
system-view
[AC6605] acl 2046
[AC6605-acl-basic-2046] rule permit source any
[AC6605-acl-basic-2046] quit
[AC6605] traffic classifier c1 operator and
[AC6605-classifier-c1] if-match acl 2046

文章目录
1 Qos概念
1.1 如何区分数据
1.2 Qos的三种模式
1.3 Qos配置流程
1.4 QoS的三种服务模型
2 访问列表traffic实验配置
2.1 实验环境及拓扑图
2.2 R1、R2、R3上配置OSPF
2.3 配置traffic访问控制
3 令牌桶及Qos配置
3.1 traffic配置
3.2 Qos配置
1 Qos概念
QoS（Quality of Service，服务质量）指一个网络能够利用各种基础技术，为指定的网络通信提供更好的服务能力, 是网络的一种安全机制， 是用来解决网络延迟和阻塞等问题的一种技术。 在正常情况下，如果网络只用于特定的无时间限制的应用系统，并不需要QoS，比如Web应用，或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时，QoS 能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。

1.1 如何区分数据
IP包，包括IP优先级（有8种），IP报文包头定义的有区分服务；dscp优先级
Mac帧：802.1p
1.2 Qos的三种模式
Best-Effort service（尽力而为服务模型）
Integrated service（综合服务模型，简称Int-Serv）
Differentiated service（区分服务模型，简称Diff-Serv）（常用）
1.3 Qos配置流程
流量分类（先用acl划分规则，而后再进行下一步配置）
流行为的配置
制定Qos策略，将前面定义的类和流行为绑定在一起
应用策略（基于接口或pvc的应用策略、基于上线用户的应用策略、基于Vlan的应用策略）
1.4 QoS的三种服务模型

1. Best-Effort service（尽力而为服务模型，简称Best-Effort）
   Best-Effort服务模型是一个单一的服务模型，也是最简单的服务模型。对Best-Effort服务模型，网络尽最大的可能性来发送报文。但对延时、可靠性等性能不提供任何保证。
   Best-Effort服务模型是网络的缺省服务模型，通过FIFO（first in first out 先入先出）队列来实现。它适用于绝大多数网络应用，如FTP、E-Mail等。

2. Integrated service（综合服务模型，简称Int-Serv）
   Int-Serv服务模型Int-Serv是一个综合服务模型，它可以满足多种QoS需求。该模型使用资源预留协议（RSVP），RSVP运行在从源端到目的端的每个设备上，可以监视每个流，以防止其消耗资源过多。这种体系能够明确区分并保证每一个业务流的服务质量，为网络提供最细粒度化的服务质量区分。
   但是，Inter-Serv模型对设备的要求很高，当网络中的数据流数量很大时，设备的存储和处理能力会遇到很大的压力。Inter-Serv模型可扩展性很差，难以在Internet核心网络实施。

3. Differentiated service（区分服务模型，简称Diff-Serv）
   Diff-Serv服务模型Diff-Serv是一个多服务模型，它可以满足不同的QoS需求。与Int-Serv不同，它不需要通知网络为每个业务预留资源。区分服务实现简单，扩展性较好。

2 访问列表traffic实验配置
2.1 实验环境及拓扑图
环境：
软件版本：eNSP 1.2.00.510
IP地址如下：
PC1：
Ethernet 0/0/1：192.168.1.2/24
AR1：
GE 0/0/0：192.168.1.1/24（宣告ospf）
GE 0/0/1：10.1.1.1/24（宣告ospf）
GE 0/0/2：10.2.2.1/24（宣告ospf）
AR2：
GE 0/0/0：10.1.1.2/24（宣告ospf）
GE 0/0/1：10.3.3.1/24（宣告ospf）
GE 0/0/2：100.100.100.1/24（宣告ospf）
AR3：
GE 0/0/0：10.2.2.2/24（宣告ospf）
GE 0/0/1：10.3.3.2/24（宣告ospf）
GE 0/0/2：200.200.200.1/24（宣告ospf）
www.Server1:
Ethernet 0/0/0：100.100.100.100/24
ftp.Server2:
Ethernet 0/0/0：200.200.200.200/24
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
拓扑图

2.2 R1、R2、R3上配置OSPF
AR1：

un t m
Info: Current terminal monitor is off.
sy
Enter system view, return user view with Ctrl+Z.
[R1]ospf
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 10.2.2.0 0.0.0.25
[R1-ospf-1-area-0.0.0.0]dis th
[V200R003C00]

area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 10.2.2.0 0.0.0.255
network 192.168.0.0 0.0.0.255

return
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
AR2：

un t m
Info: Current terminal monitor is off.
sy
Enter system view, return user view with Ctrl+Z.
[R2]ospf
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 10.3.3.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 100.100.100.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]dis th
[V200R003C00]

area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 10.3.3.0 0.0.0.255
network 100.100.100.0 0.0.0.255

return
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
AR3：

un t m
Info: Current terminal monitor is off.
sy
Enter system view, return user view with Ctrl+Z.
[R3]ospf
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]network 10.2.2.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 10.3.3.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 200.200.200.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]dis th
[V200R003C00]

area 0.0.0.0
network 10.2.2.0 0.0.0.255
network 10.3.3.0 0.0.0.255
network 200.200.200.0 0.0.0.255

return
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
测试是否全网互通

2.3 配置traffic访问控制

跟踪一下PC1到www.Server1的选路

跟踪一下PC2到ftp.Server2的选路

要求：
PC1到ftp.Server2的选路由原来的PC1->R1->R2->R3->ftp.Server2改为PC1->R1->R3->ftp.Server2

配置如下：

只需要在R1上配置策略就可以

高级acl策略配置

[R1]acl 3000
[R1-acl-adv-3000]rule permit ip destination 200.200.200.200 0
[R1-acl-adv-3000]dis th
[V200R003C00]

acl number 3000
rule 5 permit ip destination 200.200.200.200 0

return
[R1-acl-adv-3000]qu

流分类配置

[R1]traffic classifier c1
[R1-classifier-c1]if-match acl 3000
[R1-classifier-c1]dis th
[V200R003C00]

traffic classifier c1 operator or
if-match acl 3000

return
[R1-classifier-c1]qu

流行为配置

[R1]traffic behavior b1
[R1-behavior-b1]redirect ip-nexthop 10.2.2.2 # 重定向走向
[R1-behavior-b1]qu

制定traffic策略

[R1]traffic policy p1
[R1-trafficpolicy-p1]classifier c1 behavior b1
[R1-trafficpolicy-p1]qu

应用策略

[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]traffic-policy p1 inbound #需要设置到进口方向
[R1-GigabitEthernet0/0/0]qu
[R1]dis traffic policy user-defined
User Defined Traffic Policy Information:
Policy: p1
Classifier: c1
Operator: OR
Behavior: b1
Redirect:
Redirect ip-nexthop 10.2.2.2

[R1]
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
测试

3 令牌桶及Qos配置
令牌桶算法是网络流量整形（Traffic Shaping）和速率限制（Rate Limiting）中最常使用的一种算法。典型情况下，令牌桶算法用来控制发送到网络上的数据的数目，并允许突发数据的发送。可以把其形象的比喻成高速公路发卡（令牌），当发的卡越多高速公路上就越拥堵，所以需要对其进行一些限速，就是把卡（令牌）少发一点。

下面几个名词概念是需要了解的：

CIR：（Committed Information Rate，承诺信息速率）。计量单位为kbps (以bit 位为单位） 每秒可通过的速率。如设置为500Kbps 。每8bit位=1Byte 1kbps=1024bit
PIR（Peak Information Rate，峰值信息速率）：即允许传输或转发报文的最大速率；单位为bit
CBS：（Committed Burst Size）：承诺突发尺寸突发尺寸，令牌桶的容量，即每次突发所允许的最大的流量尺寸。设置的突发尺寸必须大于最大报文长度。计量单位为byte（字节）。
PBS：（Peak Burst Size）：峰值突发尺寸
EBS：（Excess Burst Size，超出突发尺寸）：即瞬间能够通过的超出突发流量。
PIR 和PBS是只有在交换机中才有的参数。

green(pass通过)<CIR<yellow(排队等待) <PIR<red(丢弃)

3.1 traffic配置
要求限速CIR为10M，CBS为2000000，PBS为4000000

这里需要注意一个设备的一个接口只能配置一个策略，就是R1的GE0/0/0接口只能保留一个策略，所以需要把上一个策略给undo掉

高级acl策略配置

[R1]acl 3001
[R1-acl-adv-3001]rule permit ip destination 100.100.100.100 0
[R1-acl-adv-3001]qu

流分类配置

[R1]traffic classifier c2
[R1-classifier-c2]if-match acl 3001
[R1-classifier-c2]qu

流行为配置

[R1]traffic behavior b2
[R1-behavior-b2]car cir 10000 cbs 2000000 pbs 4000000 green pass yellow pass remark-dscp 20 red discard # car就是限速的
[R1-behavior-b2]qu

制定traffic策略

[R1]traffic policy p2
[R1-trafficpolicy-p2]classifier c2 behavior b2
[R1-trafficpolicy-p2]qu

应用策略

[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]dis th
[V200R003C00]

interface GigabitEthernet0/0/0
ip address 192.168.1.1 255.255.255.0
traffic-policy p1 inbound

return
[R1-GigabitEthernet0/0/0]undo traffic-policy inbound #关掉上一个策略
[R1-GigabitEthernet0/0/0]traffic-policy p2 inbound
[R1-GigabitEthernet0/0/0]qu
[R1]dis traffic policy user-defined
User Defined Traffic Policy Information:
Policy: p2
Classifier: c2
Operator: OR
Behavior: b2
Committed Access Rate:
CIR 10000 (Kbps), PIR 0 (Kbps), CBS 2000000 (byte), PBS 4000000 (byte)
Color Mode: color Blind
Conform Action: pass
Yellow Action: remark dscp 20 and pass
Exceed Action: discard

Policy: p1
Classifier: c1
Operator: OR
Behavior: b1
Redirect:
Redirect ip-nexthop 10.2.2.2

[R1]

3.2 Qos配置

qos比较简单，一条命令搞定

[R1-GigabitEthernet0/0/0]qos car inbound acl 3001 cir 10000 cbs 2000000 pbs 4000000 green pass yellow pass remark-dscp 20 red discard
[R1-GigabitEthernet0/0/0]dis th
[V200R003C00]

interface GigabitEthernet0/0/0
ip address 192.168.1.1 255.255.255.0
qos car inbound acl 3001 cir 10000 cbs 2000000 pbs 4000000 green pass yellow pa
ss remark-dscp af22 red discard
traffic-policy p2 inbound

return
[R1-GigabitEthernet0/0/0]
————————————————
版权声明：本文为CSDN博主「RSQ博客」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/Mr_rsq/article/details/80217385