• 路由器配置acl


    通过acl设置限制规则
    基本acl;

    acl number 2001
    description ######
    rule 10 deny source 10.1.1.0 0.0.0.255
    rule 20 deny source 10.2.2.0 0.0.0.255
    rule 30 deny source 10.3.3.0 0.0.0.255
    高级acl

    acl number 3012
    description ######
    rule 5 deny tcp destination 192.168.2.2 0 none-first-fragment
    rule 10 permit tcp destination 192.168.2.2 0 destination-port eq www
    rule 15 deny ip
    ————————————————
    配置alc 流类
    system-view
    [AC6605] acl 2046
    [AC6605-acl-basic-2046] rule permit source any
    [AC6605-acl-basic-2046] quit
    [AC6605] traffic classifier c1 operator and
    [AC6605-classifier-c1] if-match acl 2046

    文章目录
    1 Qos概念
    1.1 如何区分数据
    1.2 Qos的三种模式
    1.3 Qos配置流程
    1.4 QoS的三种服务模型
    2 访问列表traffic实验配置
    2.1 实验环境及拓扑图
    2.2 R1、R2、R3上配置OSPF
    2.3 配置traffic访问控制
    3 令牌桶及Qos配置
    3.1 traffic配置
    3.2 Qos配置
    1 Qos概念
    QoS(Quality of Service,服务质量)指一个网络能够利用各种基础技术,为指定的网络通信提供更好的服务能力, 是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。 在正常情况下,如果网络只用于特定的无时间限制的应用系统,并不需要QoS,比如Web应用,或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时,QoS 能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。

    1.1 如何区分数据
    IP包,包括IP优先级(有8种),IP报文包头定义的有区分服务;dscp优先级
    Mac帧:802.1p
    1.2 Qos的三种模式
    Best-Effort service(尽力而为服务模型)
    Integrated service(综合服务模型,简称Int-Serv)
    Differentiated service(区分服务模型,简称Diff-Serv)(常用)
    1.3 Qos配置流程
    流量分类(先用acl划分规则,而后再进行下一步配置)
    流行为的配置
    制定Qos策略,将前面定义的类和流行为绑定在一起
    应用策略(基于接口或pvc的应用策略、基于上线用户的应用策略、基于Vlan的应用策略)
    1.4 QoS的三种服务模型

    1. Best-Effort service(尽力而为服务模型,简称Best-Effort)
      Best-Effort服务模型是一个单一的服务模型,也是最简单的服务模型。对Best-Effort服务模型,网络尽最大的可能性来发送报文。但对延时、可靠性等性能不提供任何保证。
      Best-Effort服务模型是网络的缺省服务模型,通过FIFO(first in first out 先入先出)队列来实现。它适用于绝大多数网络应用,如FTP、E-Mail等。

    2. Integrated service(综合服务模型,简称Int-Serv)
      Int-Serv服务模型Int-Serv是一个综合服务模型,它可以满足多种QoS需求。该模型使用资源预留协议(RSVP),RSVP运行在从源端到目的端的每个设备上,可以监视每个流,以防止其消耗资源过多。这种体系能够明确区分并保证每一个业务流的服务质量,为网络提供最细粒度化的服务质量区分。
      但是,Inter-Serv模型对设备的要求很高,当网络中的数据流数量很大时,设备的存储和处理能力会遇到很大的压力。Inter-Serv模型可扩展性很差,难以在Internet核心网络实施。

    3. Differentiated service(区分服务模型,简称Diff-Serv)
      Diff-Serv服务模型Diff-Serv是一个多服务模型,它可以满足不同的QoS需求。与Int-Serv不同,它不需要通知网络为每个业务预留资源。区分服务实现简单,扩展性较好。

    2 访问列表traffic实验配置
    2.1 实验环境及拓扑图
    环境:
    软件版本:eNSP 1.2.00.510
    IP地址如下:
    PC1:
    Ethernet 0/0/1:192.168.1.2/24
    AR1:
    GE 0/0/0:192.168.1.1/24(宣告ospf)
    GE 0/0/1:10.1.1.1/24(宣告ospf)
    GE 0/0/2:10.2.2.1/24(宣告ospf)
    AR2:
    GE 0/0/0:10.1.1.2/24(宣告ospf)
    GE 0/0/1:10.3.3.1/24(宣告ospf)
    GE 0/0/2:100.100.100.1/24(宣告ospf)
    AR3:
    GE 0/0/0:10.2.2.2/24(宣告ospf)
    GE 0/0/1:10.3.3.2/24(宣告ospf)
    GE 0/0/2:200.200.200.1/24(宣告ospf)
    www.Server1:
    Ethernet 0/0/0:100.100.100.100/24
    ftp.Server2:
    Ethernet 0/0/0:200.200.200.200/24
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    拓扑图

    2.2 R1、R2、R3上配置OSPF
    AR1:

    un t m
    Info: Current terminal monitor is off.
    sy
    Enter system view, return user view with Ctrl+Z.
    [R1]ospf
    [R1-ospf-1]area 0
    [R1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
    [R1-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255
    [R1-ospf-1-area-0.0.0.0]network 10.2.2.0 0.0.0.25
    [R1-ospf-1-area-0.0.0.0]dis th
    [V200R003C00]

    area 0.0.0.0
    network 10.1.1.0 0.0.0.255
    network 10.2.2.0 0.0.0.255
    network 192.168.0.0 0.0.0.255

    return
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    AR2:

    un t m
    Info: Current terminal monitor is off.
    sy
    Enter system view, return user view with Ctrl+Z.
    [R2]ospf
    [R2-ospf-1]area 0
    [R2-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255
    [R2-ospf-1-area-0.0.0.0]network 10.3.3.0 0.0.0.255
    [R2-ospf-1-area-0.0.0.0]network 100.100.100.0 0.0.0.255
    [R2-ospf-1-area-0.0.0.0]dis th
    [V200R003C00]

    area 0.0.0.0
    network 10.1.1.0 0.0.0.255
    network 10.3.3.0 0.0.0.255
    network 100.100.100.0 0.0.0.255

    return
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    AR3:

    un t m
    Info: Current terminal monitor is off.
    sy
    Enter system view, return user view with Ctrl+Z.
    [R3]ospf
    [R3-ospf-1]area 0
    [R3-ospf-1-area-0.0.0.0]network 10.2.2.0 0.0.0.255
    [R3-ospf-1-area-0.0.0.0]network 10.3.3.0 0.0.0.255
    [R3-ospf-1-area-0.0.0.0]network 200.200.200.0 0.0.0.255
    [R3-ospf-1-area-0.0.0.0]dis th
    [V200R003C00]

    area 0.0.0.0
    network 10.2.2.0 0.0.0.255
    network 10.3.3.0 0.0.0.255
    network 200.200.200.0 0.0.0.255

    return
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    测试是否全网互通

    2.3 配置traffic访问控制

    跟踪一下PC1到www.Server1的选路

    跟踪一下PC2到ftp.Server2的选路

    要求:
    PC1到ftp.Server2的选路由原来的PC1->R1->R2->R3->ftp.Server2改为PC1->R1->R3->ftp.Server2

    配置如下:

    只需要在R1上配置策略就可以

    高级acl策略配置

    [R1]acl 3000
    [R1-acl-adv-3000]rule permit ip destination 200.200.200.200 0
    [R1-acl-adv-3000]dis th
    [V200R003C00]

    acl number 3000
    rule 5 permit ip destination 200.200.200.200 0

    return
    [R1-acl-adv-3000]qu

    流分类配置

    [R1]traffic classifier c1
    [R1-classifier-c1]if-match acl 3000
    [R1-classifier-c1]dis th
    [V200R003C00]

    traffic classifier c1 operator or
    if-match acl 3000

    return
    [R1-classifier-c1]qu

    流行为配置

    [R1]traffic behavior b1
    [R1-behavior-b1]redirect ip-nexthop 10.2.2.2 # 重定向走向
    [R1-behavior-b1]qu

    制定traffic策略

    [R1]traffic policy p1
    [R1-trafficpolicy-p1]classifier c1 behavior b1
    [R1-trafficpolicy-p1]qu

    应用策略

    [R1]int g0/0/0
    [R1-GigabitEthernet0/0/0]traffic-policy p1 inbound #需要设置到进口方向
    [R1-GigabitEthernet0/0/0]qu
    [R1]dis traffic policy user-defined
    User Defined Traffic Policy Information:
    Policy: p1
    Classifier: c1
    Operator: OR
    Behavior: b1
    Redirect:
    Redirect ip-nexthop 10.2.2.2

    [R1]
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    测试

    3 令牌桶及Qos配置
    令牌桶算法是网络流量整形(Traffic Shaping)和速率限制(Rate Limiting)中最常使用的一种算法。典型情况下,令牌桶算法用来控制发送到网络上的数据的数目,并允许突发数据的发送。可以把其形象的比喻成高速公路发卡(令牌),当发的卡越多高速公路上就越拥堵,所以需要对其进行一些限速,就是把卡(令牌)少发一点。

    下面几个名词概念是需要了解的:

    CIR:(Committed Information Rate,承诺信息速率)。计量单位为kbps (以bit 位为单位) 每秒可通过的速率。如设置为500Kbps 。每8bit位=1Byte 1kbps=1024bit
    PIR(Peak Information Rate,峰值信息速率):即允许传输或转发报文的最大速率;单位为bit
    CBS:(Committed Burst Size):承诺突发尺寸突发尺寸,令牌桶的容量,即每次突发所允许的最大的流量尺寸。设置的突发尺寸必须大于最大报文长度。计量单位为byte(字节)。
    PBS:(Peak Burst Size):峰值突发尺寸
    EBS:(Excess Burst Size,超出突发尺寸):即瞬间能够通过的超出突发流量。
    PIR 和PBS是只有在交换机中才有的参数。

    green(pass通过)<CIR<yellow(排队等待) <PIR<red(丢弃)

    3.1 traffic配置
    要求限速CIR为10M,CBS为2000000,PBS为4000000

    这里需要注意一个设备的一个接口只能配置一个策略,就是R1的GE0/0/0接口只能保留一个策略,所以需要把上一个策略给undo掉

    高级acl策略配置

    [R1]acl 3001
    [R1-acl-adv-3001]rule permit ip destination 100.100.100.100 0
    [R1-acl-adv-3001]qu

    流分类配置

    [R1]traffic classifier c2
    [R1-classifier-c2]if-match acl 3001
    [R1-classifier-c2]qu

    流行为配置

    [R1]traffic behavior b2
    [R1-behavior-b2]car cir 10000 cbs 2000000 pbs 4000000 green pass yellow pass remark-dscp 20 red discard # car就是限速的
    [R1-behavior-b2]qu

    制定traffic策略

    [R1]traffic policy p2
    [R1-trafficpolicy-p2]classifier c2 behavior b2
    [R1-trafficpolicy-p2]qu

    应用策略

    [R1]int g0/0/0
    [R1-GigabitEthernet0/0/0]dis th
    [V200R003C00]

    interface GigabitEthernet0/0/0
    ip address 192.168.1.1 255.255.255.0
    traffic-policy p1 inbound

    return
    [R1-GigabitEthernet0/0/0]undo traffic-policy inbound #关掉上一个策略
    [R1-GigabitEthernet0/0/0]traffic-policy p2 inbound
    [R1-GigabitEthernet0/0/0]qu
    [R1]dis traffic policy user-defined
    User Defined Traffic Policy Information:
    Policy: p2
    Classifier: c2
    Operator: OR
    Behavior: b2
    Committed Access Rate:
    CIR 10000 (Kbps), PIR 0 (Kbps), CBS 2000000 (byte), PBS 4000000 (byte)
    Color Mode: color Blind
    Conform Action: pass
    Yellow Action: remark dscp 20 and pass
    Exceed Action: discard

    Policy: p1
    Classifier: c1
    Operator: OR
    Behavior: b1
    Redirect:
    Redirect ip-nexthop 10.2.2.2

    [R1]

    3.2 Qos配置

    qos比较简单,一条命令搞定

    [R1-GigabitEthernet0/0/0]qos car inbound acl 3001 cir 10000 cbs 2000000 pbs 4000000 green pass yellow pass remark-dscp 20 red discard
    [R1-GigabitEthernet0/0/0]dis th
    [V200R003C00]

    interface GigabitEthernet0/0/0
    ip address 192.168.1.1 255.255.255.0
    qos car inbound acl 3001 cir 10000 cbs 2000000 pbs 4000000 green pass yellow pa
    ss remark-dscp af22 red discard
    traffic-policy p2 inbound

    return
    [R1-GigabitEthernet0/0/0]
    ————————————————
    版权声明:本文为CSDN博主「RSQ博客」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
    原文链接:https://blog.csdn.net/Mr_rsq/article/details/80217385

  • 相关阅读:
    Python
    Python
    Redis
    android和.net webservice中的DES加密算法
    android studio中使用recyclerview小白篇(四)
    android studio中使用recyclerview小白篇(三)
    android studio中使用recyclerview小白篇(二)
    android studio中使用recyclerview小白篇(一)
    Fragment之间通过add切换时的显示与隐藏
    android报错:org.ksoap2.SoapFault cannot be cast to org.ksoap2.serialization.SoapObject
  • 原文地址:https://www.cnblogs.com/ch2020/p/16163400.html
Copyright © 2020-2023  润新知