华为交换机qaclripospf的实现.docVIP

华为交换机QACL、RIP、OSPF的实现 一．QACL内容 QACL是QoS ACL的简称。下面分别介绍一下QoS和ACL。 ㈠、QoS(服务质量) 传统的分组网络对所有报文都无区别的等同对待。每个交换机/路由器对所有的报文采用先入先出的策略（FIFO）处理，尽最大的努力（Best-Effort）将报文送到目的地，但对报文传送的延时、延时抖动等传输性能不提供任何承诺和保证。 随着计算机网络的高速发展，对带宽、延迟、抖动敏感的语音、图像、重要数据越来越多地在网上传输。这样一方面使得网上的业务资源极大地丰富，另一方面则由于经常遭遇网络拥塞，人们对网络传输的服务质量QoS（Qualityof Service）提出了更高的要求。 以太网技术是当今被广泛使用的网络技术。目前，以太网不仅成为各种独立的局域网中的主导技术，许多以太网形式的局域网也成为了Internet 的组成部分。而且随着以太网技术的不断发展，以太网接入方式也将成为广大普通Internet 用户的主要接入方式之一。因此要实现端到端的全网QoS 解决方案，不可避免地要考虑以太网上的QoS 业务保证的问题。这就需要以太网交换设备应用以太网QoS 技术，对不同类型的业务流提供不同等级的QoS 保证，尤其是能够支持那些对延时和抖动要求较高的业务流。 下面介绍QoS 的一些术语和概念。 1、流 流即业务流（traffic），指所有通过交换机的报文。 2、流分类 流分类（traffic classification）是指采用一定的规则识别出符合某类特征的报文。分类规则（classification rule）指配置管理员根据管理需求配置的过滤规则。分类规则可以很简单，比如可根据IP 报文头的ToS 字段，识别出有不同优先级特征的流量；也可以很复杂，如综合链路层（Layer 2）、网络层（layer3）、传输层（layer 4）信息诸如MAC 地址、IP 协议、源地址、目的地址、或应用程序的端口号等相关信息来对报文进行分类。一般的分类依据都局限在封装报文的头部信息，使用报文的内容作为分类的标准比较少见。 3、包过滤 包过滤就是将业务流进行过滤操作。例如丢弃操作（deny），该操作将匹配流分类规则的业务流丢弃，而允许其他所有流量通过。以太网交换机采用了复杂的流分类规则，这样可以针对业务流的各种信息进行过滤，丢弃那些无用的、不可靠、值得怀疑的业务流，从而增强了网络的安全性。 实现包过滤，有两个关键的环节： 第一步：是对进入端口的流量按即定的规则进行流分类； 第二步：对区分出来的流进行过滤——丢弃操作（deny）。deny 为缺省的访问控制操作。 4、流量监管 为了使有限的网络资源可以更好地为用户服务，QoS 在输入端口上可以对特定用户的业务流进行监管，使之适应分配给它的那部分网络资源。 5、带宽保证 带宽保证是指确保进入交换机的特定业务流一个最小的带宽，即使在网络拥塞时，也能满足一定的丢包率、时延及时延抖动等QoS 需求。 6、端口限速 端口限速就是基于端口的速率限制，它对端口输出报文的总速率进行限制。 7、重定向 用户可以基于自身QoS 策略的需要，重新指定报文的转发端口。 8、优先级标记 以太网交换机可为特定报文提供优先级标记的服务，标记内容包括TOS、DSCP、802.1p 等，这些优先级标记分别适用于不同的QoS 模型，在不同的模型中被定义。 ㈡、ACL（访问控制列表） 访问控制列表（ACL）具有区分数据包的功能，因此，它可以控制“什么样的数据包”可以做“什么样的事情”。例如： 将访问控制列表应用于防火墙，可以在保证合法用户访问的同时拒绝非法用户的访问。也可以允许某种服务（如Telnet）通过，而拒绝另一种服务（如DNS）。 在QoS的应用中，我们可以利用访问控制列表对网络中的数据流量进行控制，重要的数据得到优先处理，不重要的数据后处理，不需要的数据被丢弃。 在DCC中我们则可以用访问控制列表来规定哪些数据包可以触发拨号。 在地址转换中，访问控制列表还可以用来规定哪些数据包需要进行地址转换。 另外访问控制列表还广泛应用于路由策略中，主要用作路由信息的过滤。 IP数据包具有一定的特征，例如，对于每个TCP数据包，都包含有源地址、目的地址、协议号、源端口、目的端口，利用这5个元素就可以描述出一个数据包的特征。 访问控制列表就是利用这些信息来定义规则，区分不同的数据包（例如所有源地址是202.10.10.0地址段的数据包、所有使用Telnet访问的数据包等等），路由器将在使能访问控制列表的接口上对所有的数据包进行规则的匹配检查。 一条访问控制规则可以由多条子规则组成。由于每一条子规则指定的数据包的范围大小有别，在匹配一个访问控制规则的时候就存在匹配顺序的问题。 二．RIP内容 RIP