华为之ACL应用于Traffic Policy/华为策略路由匹配原则

这篇具有很好参考价值的文章主要介绍了华为之ACL应用于Traffic Policy/华为策略路由匹配原则。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

如果报文没有匹配到traffic policy中的Classifier该怎么处理?

一个Traffic policy中可以配置一个或多个Classifier & Behavior对。当收到一个报文,做复杂流分类处理时,会按照Traffic-policy中Classifier & Behavior对的配置顺序进行匹配。

如果命中,则停止匹配;如果不命中,则匹配后面的Classifier;如果是最后一个Classifier,且还不命中,则报文走正常的转发处理,类似于没有应用流分类策略


以下内容摘自华为 HedEx文裆NE5000E,用于后期的快速查找

关于Traffic Policy

流策略(Traffic Policy)用于QoS复杂流分类,实现丰富的QoS策略。

Traffic Policy分为三部分:

  • 流分类(Classifier)模板:定义流量类型。一个Classifier可以配置一条或多条if-match语句,if-match语句中可以引用ACL规则。不同的Classifier模板可以应用相同的ACL规则。一个ACL规则可以配置一个或多个Rule语句。
  • 流动作(Behavior)模板:指用于定义针对该类流量可实施的流动作。一个Behavior可以定义一个或多个动作。
  • 流策略(Traffic Policy)模板:将流分类Classifier和流动作Behavior关联,成为一个Classifier & Behavior对。当Traffic Policy模板设置完毕之后,需要将Traffic Policy模板应用到接口上才能使策略生效。

接口、流策略、流动作、流分类、ACL之间的关系如

华为之ACL应用于Traffic Policy/华为策略路由匹配原则

Classifier & Behavior对之间的匹配顺序

一个Traffic policy中可以配置一个或多个Classifier & Behavior对。当收到一个报文,做复杂流分类处理时,会按照Traffic-policyClassifier & Behavior对的配置顺序进行匹配。

如果命中,则停止匹配;如果不命中,则匹配后面的Classifier;如果是最后一个Classifier,且还不命中,则报文走正常的转发处理,类似于没有应用流分类策略。

Classifier之间的顺序可以通过命令行classifier behavior修改。例如,Traffic-policy T中配置了ABC三个Classifier

#文章来源地址https://www.toymoban.com/news/detail-470974.html

traffic policy T

 classifier A behavior A

 classifier B behavior B

 classifier C behavior C

#

缺省情况下,ABC三个Classifier的顺序分别是123,与配置的顺序相同。如果要将A排在最后,可以执行如下命令:

 classifier A behavior A precedence 4

结果是:

#

traffic policy T

 classifier B behavior B

 classifier C behavior C

 classifier A behavior A precedence 4

#

此时,B之前的顺序号1没有被占用,因此可以在B之前添加一个Classifier(假设是D),则可执行如下命令实现。

classifier D behavior D precedence 1

结果是:

#

traffic policy T

 classifier D behavior D precedence 1

 classifier B behavior B

 classifier C behavior C

 classifier A behavior A precedence 4

#

如果按如下方法,不指定precedence值的方式添加D

classifier D behavior D

结果如下:

#

traffic policy T

 classifier B behavior B

 classifier C behavior C

 classifier A behavior A precedence 4

 classifier D behavior D

#

If-match语句之间的匹配顺序

由于Classifier中配置的是一个或多个if-match语句,按照if-match语句配置顺序进行匹配。报文命中if-match语句后,是否执行对应的behavior动作,取决于If-match语句之间是And还是Or逻辑。

If-match语句之间的AndOr逻辑

如果流分类模板下配置了多个if-match语句,则这些语句之间有AndOr两种逻辑关系:

  • Or逻辑:数据包只要匹配该流分类下的任何一条if-match语句定义的规则就属于该类。
  • And逻辑:数据包必须匹配该流分类下的全部if-match语句才属于该类。

流策略的执行过程(if-match语句间是Or逻辑)

流策略的执行过程(Or逻辑)

华为之ACL应用于Traffic Policy/华为策略路由匹配原则

如图,针对每个Classifier,如果If-match语句之间是Or逻辑,按照if-match语句配置顺序进行匹配,数据包一旦命中某个if-match语句:

  • 如果命中的if-match语句没有引用ACL,则执行behavior定义的动作。
  • 如果命中的if-match语句引用了ACL,且命中的是permit规则,则执行behavior定义的动作;命中的是deny规则,则直接丢弃报文。

如果数据包没有命中任何if-match语句,则不支持任何动作,继续处理下一个Classifier

流策略的执行过程(if-match语句间是And逻辑)

如果If-match语句之间是And逻辑,设备先会将这些if-match语句进行合并(这里的合并相当于集合的乘法操作),再按照Or逻辑的处理流程进行处理。

对于引用ACLif-match语句,不是将ACL内部的各条Rule进行合并,而是逐条与其他if-match语句进行合并。因此值得注意的是:And逻辑中if-match语句的顺序不影响匹配结果,但ACLRule的顺序仍然会影响匹配结果。

例如,某个流策略下配了如下一个classifier

acl 3000
 rule 5 permit ip source 1.1.1.1 0
 rule 10 deny ip source 2.2.2.2 0
#
traffic classifier example operator and
 if-match acl 3000
 if-match dscp af11

则设备首先进行if-match语句的合并,合并结果相当于:

acl 3000
 rule 5 permit ip source 1.1.1.1 0 dscp af11
 rule 10 deny ip source 2.2.2.2 0 dscp af11
#
traffic classifier example operator or
 if-match acl 3000
#
traffic behavior example
 remark dscp af22
#
traffic policy example
 share-mode
 classifier example behavior example
#
interface GigabitEthernet2/0/0
 traffic-policy P inbound
#

然后,再针对合并结果按Or逻辑的执行过程进行处理。处理结果是从GE2/0/0收到的源IP1.1.1.1/32dscp=10的报文重标记为AF22,源IP1.1.1.2/32dscp=10的报文丢弃,其他报文由于没有匹配任何规则,直接转发。

说明:

对于And逻辑,系统License中最多只允许存在一条引用ACLif-match语句;而Or逻辑中,可以有多条引用ACLif-match语句。

If-math语句引用ACL时的匹配过程

如果if-match语句指定的是ACL,需要在ACL的多个Rule语句中进行匹配:首先查找用户是否配置了该ACL(因为流分类允许引用不存在的ACL),命中的第一条则停止匹配,不再继续查找后续的规则。

说明:

Rule中的动作为Deny时,如果behavior是镜像或采样,即使对于丢弃的报文,也会执行behavior

ACL中可以指定permitdeny规则,它与ACL所在Classifier所对应的Behavior中的动作的关系是:

  • ACLdeny,则不关心Behavior,报文最终动作是deny
  • ACLpermit,则执行Behavior,报文最终动作是Behavior

例如以下配置的匹配结果是:源地址是50.0.0.1/24的报文IP优先级被标记为7;源地址是60.0.0.1/24的报文被丢弃;源地址是70.0.0.1/24的报文IP优先级不变。

acl 3999
  rule 5 permit ip source 50.0.0.0 0.255.255.255
  rule 10 deny ip source 60.0.0.0 0.255.255.255

traffic classifier acl
  if-match acl 3999

traffic behavior test

  remark ip-pre 7
traffic policy test
  classifier acl behavior test

interface GigabitEthernet1/0/1
  traffic-policy test inbound

流量策略中ACL计数功能

为节省内存,系统缺省不使能流量策略的统计功能。当用户需要显示流量策略的统计数据时,可配置statistics enable命令使能流量策略的统计功能。

#

traffic policy example

 classifier example behavior example

 statistics enable

#

到了这里,关于华为之ACL应用于Traffic Policy/华为策略路由匹配原则的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 华为路由器 基本ACL配置

    1、什么是ACL? 访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。 ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可

    2024年02月09日
    浏览(50)
  • 华为交换机路由器使用基本ACL限制Telnet,http登录权限

    如图所示,PC与设备之间路由可达,用户希望简单方便的配置和管理远程设备,可以在服务器端配置Telnet用户使用AAA验证登录,并配置安全策略,保证只有符合安全策略的用户才能登录设备。 配置通过Telnet登录设备组网图 采用如下的思路配置通过Telnet登录设备: 配置Telnet方

    2024年01月16日
    浏览(49)
  • 华为eNSP配置专题-策略路由的配置

    1.1、宿主机 笔记本电脑,配置如下:Windows10企业版,32GB内存 1.2、eNSP模拟器 eNSP1.3.00 2.1、终端构成和连接 0、总体拓扑如下: 1、2台PC,1台代表教学楼的网络,1台代表宿舍楼的网络。 2、2台交换机,1台为接入交换机acsw,1台为核心交换机(网关)coresw。 3、3台路由器,1台为

    2024年02月08日
    浏览(33)
  • Policy Gradient策略梯度算法详解

    Policy Gradient策略梯度(PG),是一种基于策略的强化学习算法,不少帖子会讲到从基于值的算法(Q-learning/DQN/Saras)到基于策略的算法难以理解,我的理解是两者是完全两套思路,在学习一种的时候先不要考虑另一种,更容易接受算法基本思想,了解了算法原理推导过程之后再

    2024年02月07日
    浏览(43)
  • 策略梯度算法(Policy gradient,PG)

    强化学习 有三个组成部分:演员,环境和奖励函数, 演员是我们的智能体,环境就是对手,奖励就是没走出一步环境给我们的reward,环境和奖励是我们无法控制的,但是我们可以调整演员的策略,演员的策略决定了演员的动作,即给定一个输入,它会输出演员现在应该要执

    2023年04月08日
    浏览(85)
  • nginx配置相关策略Content-Security-Policy、Referrer-policy

    最近在安全测试中发现了一下网站的问题: 主要是配置一些参数:这些可以前端配置,也可以在nginx中进行配置 在nginx的server中添加请求头信息: add_header Content-Security-Policy “upgrade-insecure-requests;connect-src *”; add_header X-XSS-Protection “1; mode=block” always; add_header X-Content-Type-Opt

    2024年02月02日
    浏览(38)
  • ARM 中缓存维护策略:Allocate policy(读分配/写分配),Write policy(写通/写回)以及replacement policy基础知识

    针对不同的使用场景,有不同的cache 策略来影响cache的操作。缓存策略使我们能够描述何时应该将一个cache line写入给data cache,以及当执行store指令并发生cache hit时应该发生什么。cache 策略(policy)主要分为: 分配策略 Allocation policy:控制什么操作可以导致 linefill (将外部内

    2024年02月04日
    浏览(42)
  • Web 安全之 Permissions Policy(权限策略)详解

    Permissions Policy 为 web 开发人员提供了明确声明哪些功能可以在网站上使用,哪些功能不能在网站上使用的机制。可以设置一组策略,用于限制站点代码可以访问的 API 或者修改浏览器对某些特性的默认行为。设置 Permissions-Policy 可以在代码库不断演进的同时强制执行最佳实践

    2024年02月09日
    浏览(43)
  • 前端安全-内容安全策略CSP(Content Security Policy)

    目录 CSP xss 使用方法 http头部设置 meta标签设置 策略集组成 常见指令 default-src report-uri 示例  指令(属性)  指令值(属性值) CSP学习链接  内容安全策略,为了页面内容安全而制定的一系列防护策略。可以通过CSP指定策略来规定页面加载的内容来源(这里的内容可以指脚本

    2024年02月05日
    浏览(41)
  • 项目综合实训,vrrp+bfd,以及策略路由的应用

    目录 一. 项目需求 二. Visio设备画图 三. 设备选型 三.vlan规划 四.Ip地址规划 五.实验拓扑图 六.配置过程及结果 项目需求 1.S1作为VLAN10的主网关和根桥,S2作为vlan20的主网关和根桥 2.R1和R2作为出口设备互为备份;连接不同运营商实现双出口链路上连,互为备份; 3.Vlan

    2024年02月06日
    浏览(35)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包