華為端口鏡像ACL流過(guò)濾

1、1、華為交換機(jī)端口鏡像設(shè)置<HUAWEI> system-view HUAWEI observe-port 1 interface gigabitethernet 1/0/1 （配置觀察端口）HUAWEI interface gigabitethernet 2/0/1 HUAWEI-GigabitEthernet2/0/1 port-mirroring to observe-port 1 inbound（配置鏡像端口）2、華為交換機(jī)ACL控制列表和包過(guò)濾設(shè)置ACL控制列表種類：、標(biāo)準(zhǔn)訪問(wèn)控制列表：只能使用源地址描述數(shù)據(jù)，表明是允許還是拒絕命令格式：ac

2、l XXXrule permit/deny source source_address source_wildcard/anyeg:acl 1199rule permit source 192.168.1.0 0.0.0.255(允許源地址為192.168.1.0網(wǎng)段的數(shù)據(jù)包通過(guò))、擴(kuò)展訪問(wèn)控制列表：在標(biāo)準(zhǔn)控制列表的基礎(chǔ)上添加基于協(xié)議和端口號(hào)的控制3、流策略（Traffic Policy）用于QoS復(fù)雜流分類，實(shí)現(xiàn)豐富的QoS策略。Traffic Policy分為三部分：、流分類（Classifier）模板：定義流量類型。一個(gè)Classifier可以配置一條或多條if-match語(yǔ)句，if-m

3、atch語(yǔ)句中可以引用ACL規(guī)則。不同的Classifier模板可以應(yīng)用相同的ACL規(guī)則。一個(gè)ACL規(guī)則可以配置一個(gè)或多個(gè)Rule語(yǔ)句。、流動(dòng)作（Behavior）模板：指，用于定義針對(duì)該類流量可實(shí)施的流動(dòng)作。一個(gè)Behavior可以定義一個(gè)或多個(gè)動(dòng)作。、流策略（Traffic Policy）模板：將流分類Classifier和流動(dòng)作Behavior關(guān)聯(lián)，成為一個(gè)Classifier & Behavior對(duì)。當(dāng)Traffic Policy模板設(shè)置完畢之后，需要將Traffic Policy模板應(yīng)用到接口上才能使策略生效。Classifier & Behavior對(duì)之間的匹配順序

4、一個(gè)Traffic-policy中可以配置一個(gè)或多個(gè)Classifier & Behavior對(duì)。當(dāng)收到一個(gè)報(bào)文，做復(fù)雜流分類處理時(shí)，會(huì)按照Traffic-policy中Classifier & Behavior對(duì)的配置順序進(jìn)行匹配。如果命中，則停止匹配；如果不命中，則匹配后面的Classifier；如果是最后一個(gè)Classifier，且還不命中，則報(bào)文走正常的轉(zhuǎn)發(fā)處理，類似于沒(méi)有應(yīng)用流分類策略。Classifier之間的順序可以通過(guò)命令行classifier classifier-name behavior behavior-name 

5、precedenceprecedence修改。例如，Traffic-policy T中配置了A、B、C三個(gè)Classifier：#traffic policy T classifier A behavior A classifier B behavior B classifier C behavior C#缺省情況下，A、B、C三個(gè)Classifier的順序分別是1、2和3，與配置的順序相同。如果要將A排在最后，可以執(zhí)行如下命令： classifier A behavior A precedence 4結(jié)果是：#traffic policy T classifier B behavior B

6、classifier C behavior C classifier A behavior A precedence 4#此時(shí)，B之前的順序號(hào)1沒(méi)有被占用，因此可以在B之前添加一個(gè)Classifier（假設(shè)是D），則可執(zhí)行如下命令實(shí)現(xiàn)。classifier D behavior D precedence 1結(jié)果是：#traffic policy T classifier D behavior D precedence 1 classifier B behavior B classifier C behavior C classifier A behavior A precedence 4#如果

7、按如下方法，不指定precedence值的方式添加D，classifier D behavior D結(jié)果如下：#traffic policy T classifier B behavior B classifier C behavior C classifier A behavior A precedence 4 classifier D behavior D#If-match語(yǔ)句之間的匹配順序由于Classifier中配置的是一個(gè)或多個(gè)if-match語(yǔ)句，按照if-match語(yǔ)句配置順序進(jìn)行匹配。報(bào)文命中if-match語(yǔ)句后，是否執(zhí)行對(duì)應(yīng)的behavior動(dòng)作，取決于If-match語(yǔ)句

8、之間是And還是Or邏輯。If-match語(yǔ)句之間的And和Or邏輯如果流分類模板下配置了多個(gè)if-match語(yǔ)句，則這些語(yǔ)句之間有And和Or兩種邏輯關(guān)系：Or邏輯：數(shù)據(jù)包只要匹配該流分類下的任何一條if-match語(yǔ)句定義的規(guī)則就屬于該類。And邏輯：數(shù)據(jù)包必須匹配該流分類下的全部if-match語(yǔ)句才屬于該類。流策略的執(zhí)行過(guò)程（if-match語(yǔ)句間是Or邏輯）圖2 流策略的執(zhí)行過(guò)程（Or邏輯） 如圖2，針對(duì)每個(gè)Classifier，如果If-match語(yǔ)句之間是Or邏輯，按照if-match語(yǔ)句配置順序進(jìn)行匹配，數(shù)據(jù)包一旦命中某個(gè)if-match語(yǔ)句：如果命中的if

9、-match語(yǔ)句沒(méi)有引用ACL，則執(zhí)行behavior定義的動(dòng)作。如果命中的if-match語(yǔ)句引用了ACL，且命中的是permit規(guī)則，則執(zhí)行behavior定義的動(dòng)作；命中的是deny規(guī)則，則直接丟棄報(bào)文。如果數(shù)據(jù)包沒(méi)有命中任何if-match語(yǔ)句，則不支持任何動(dòng)作，繼續(xù)處理下一個(gè)Classifier。流策略的執(zhí)行過(guò)程（if-match語(yǔ)句間是And邏輯）如果If-match語(yǔ)句之間是And邏輯，設(shè)備先會(huì)將這些if-match語(yǔ)句進(jìn)行合并（這里的“合并”相當(dāng)于集合的乘法操作），再按照Or邏輯的處理流程進(jìn)行處理。對(duì)于引用ACL的if-match語(yǔ)句，不是將ACL內(nèi)部的各條Rule進(jìn)行合并，而

10、是逐條與其他if-match語(yǔ)句進(jìn)行合并。因此值得注意的是：And邏輯中if-match語(yǔ)句的順序不影響匹配結(jié)果，但ACL中Rule的順序仍然會(huì)影響匹配結(jié)果。例如，某個(gè)流策略下配了如下一個(gè)classifier：#acl 3000 rule 5 permit ip source 1.1.1.1 0 rule 10 deny ip source 2.2.2.2 0#traffic classifier example operator and if-match acl 3000 if-match dscp af11#則設(shè)備首先進(jìn)行if-match語(yǔ)句的合并，合并結(jié)果相當(dāng)于：#acl 3000 ru

11、le 5 permit ip source 1.1.1.1 0 dscp af11 rule 10 deny ip source 2.2.2.2 0 dscp af11#traffic classifier example operator or if-match acl 3000#traffic behavior example remark dscp af22#traffic policy example share-mode classifier example behavior example #interface GigabitEthernet2/0/0 traffic-policy

12、 P inbound#然后，再針對(duì)合并結(jié)果按Or邏輯的執(zhí)行過(guò)程進(jìn)行處理。處理結(jié)果是從GE2/0/0收到的源IP為1.1.1.1/32且dscp=10的報(bào)文重標(biāo)記為AF22，源IP為1.1.1.2/32且dscp=10的報(bào)文丟棄，其他報(bào)文由于沒(méi)有匹配任何規(guī)則，直接轉(zhuǎn)發(fā)。對(duì)于And邏輯，系統(tǒng)默認(rèn)License中最多只允許存在一條引用ACL的if-match語(yǔ)句；而Or邏輯中，可以有多條引用ACL的if-match語(yǔ)句。如果更改License使And邏輯允許存在多條引用ACL的if-match語(yǔ)句，則這些if-match語(yǔ)句的合并規(guī)則是：permit + permit = permitpermit

13、+ deny = denydeny + permit = denydeny + deny = denyIf-math語(yǔ)句引用ACL時(shí)的匹配過(guò)程如果if-match語(yǔ)句指定的是ACL，需要在ACL的多個(gè)Rule語(yǔ)句中進(jìn)行匹配：首先查找用戶是否配置了該ACL（因?yàn)榱鞣诸愒试S引用不存在的ACL），命中的第一條則停止匹配，不再繼續(xù)查找后續(xù)的規(guī)則。 說(shuō)明：當(dāng)Rule中的動(dòng)作為Deny時(shí)，如果behavior是鏡像或采樣，即使對(duì)于丟棄的報(bào)文，也會(huì)執(zhí)行behavior。ACL中可以指定permit或deny規(guī)則，它與ACL所在Classifier所對(duì)應(yīng)的Behavior中的動(dòng)作的關(guān)系是：ACL為d

14、eny，則不關(guān)心Behavior，報(bào)文最終動(dòng)作是deny；ACL為permit，則執(zhí)行Behavior，報(bào)文最終動(dòng)作是Behavior。例如以下配置的匹配結(jié)果是：源地址是50.0.0.1/24的報(bào)文IP優(yōu)先級(jí)被標(biāo)記為7；源地址是60.0.0.1/24的報(bào)文被丟棄；源地址是70.0.0.1/24的報(bào)文IP優(yōu)先級(jí)不變。acl 3999 rule 5 permit ip source 50.0.0.0 0.255.255.255 rule 10 deny ip source 60.0.0.0 0.255.255.255 traffic classifier acl if-match acl 3999 traffic behavior test remark ip-pre 7 traffic policy test classifier acl behavior test