ACL流策略

QoS实现工具之MQC-qos设置

作者：上犹日期：2019-10-23 11:30:36

返回目录：设置问题

QoS技术可以对网络中报文进行分类处理，根据优先级提供不同的差分服务，如何实现这种差分服务呢？我们有一种强大的配置方法-模块化QoS命令行MQC（Modular QoS Command-Line）。下面就来介绍一下MQC。

MQC可以做什么？

MQC，又叫流策略，是指通过将某些具有相同特征的报文划分为一类，并为这一类报文提供相同服务的配置方法。通过配置流策略，用户可以定义报文分类规则匹配需要单独处理的流量，然后将匹配的流量进行相应处理，达到自己想要的效果。通过MQC配置可以实现流量监管、重标记优先级等QoS业务，也可以实现流量统计、策略路由等其他网络常用功能，功能强大，配置灵活。

MQC是如何实现的？

MQC的配置流程

MQC包含三个要素，分别是流分类（traffic classifier）、流行为（traffic behavior）和流策略（traffic policy）。三要素通过下面的方式配合使用完成对流量的处理：

1. 配置流分类定义报文匹配规则
2. 配置流行为确定报文处理动作
3. 配置流策略，并将配置好的流分类和流行为绑定到一起
4. 在指定视图下应用流策略

配置流分类

当用户想要对某类流量进行识别时，需要确定一组流量匹配规则，这个过程称为定义流分类。分类方法丰富多样，常用的报文分类规则有如下几种

1. MAC地址
2. VLAN ID
3. 802.1p优先级
4. EXP优先级
5. ACL
6. DSCP优先级
7. IP优先级
8. 所有报文
9. 出接口或入接口

通过命令traffic classifier classifier-name [ operator { and | or } ] [ precedence precedence-value ]配置流分类，然后在该流分类中通过if-macth命令配置具体的规则。

一个流分类中可以配置一条规则，也可以配置多条，多条规则之间的关系可以配置为and或者or。规则之间的关系配置为and或者or时，报文匹配流分类的要求不同：

以下面两个流分类为例，对于tc1来说，报文必须同时匹配ACL2001（或ACL3001），802.1p优先级为5和三层协议类型为IP协议三个规则时才属于该类。

[switch] traffic classifier tc1 operator and
[switch-classifier-tc1] if-match acl 2001
[switch-classifier-tc1] if-match 8021p 5 
[switch-classifier-tc1] if-match acl 3001
[switch-classifier-tc1] if-match protocol ip

对于tc2来说，报文匹配ACL3001或者报文802.1p优先级为6时都属于该类。

[switch] traffic classifier tc2 operator or 
[switch-classifier-tc2] if-match acl 3001
[switch-classifier-tc2] if-match 8021p 6

配置流行为

前面通过流分类对报文进行了分类，那分类的目的是什么呢？就是对不同类型的报文（或者说不同业务）提供不同的服务，而不同的服务就是通过流行为来定义的。配置时需要通过命令traffic behavior behavior-name定义一个流行为，然后在流行为中配置具体的流动作。常用的流动作包括以下几种：

如果配置流动作为重标记，表示对报文重新进行分类，可以重标记报文的802.1p优先级、DSCP优先级、本地优先级、目的MAC地址、流ID等等。重标记报文的802.1p优先级和DSCP优先级会影响下游设备对报文的QoS处理，不影响报文在本设备的QoS处理；重标记本地优先级则仅影响本设备对报文的QoS处理。

在一个流行为中可以定义一个或多个动作，如下流行为tb1表示对匹配分类的报文进行流量监管，限速为4096kbit/s，同时进行流量统计。

[switch]traffic behavior tb1
[switch-behavior-tb1] car cir 4096
[switch-behavior-tb1] statistic enable

流行为tb2表示将匹配分类的报文重定向到下一跳10.10.10.1。

[switch] traffic behavior tb2
[switch-behavior-tb2] redirect ip-nexthop 10.10.10.1

不同的流动作之间可能会存在互斥，即同一个流行为中，某些动作不能同时配置。比如流动作deny与流镜像之外的其他动作不能在一个流行为中配置。

ACL与MQC经常组合使用。ACL里面的permit/deny与traffic behavior中的permit/deny组合使用时有如下四种情况：

配置流策略

前面配置的流分类、流行为是孤立的，本身没任何意义，所以必须将两者联系在一起才有意义，而流策略就是把两者绑定起来。流分类规则和流行为定义好之后，通过命令traffic policy policy-name [ match-order { auto | config } ]配置一个流策略，然后通过classifier classifier-name behavior behavior-name将流分类和流行为绑定到一起，组成一个特定的策略。

以下面的配置为例，流策略tp1表示对匹配tc1规则的报文执行tb1的动作，对匹配tc2规则的报文执行tb2动作。

[switch] traffic policy tp1 match-order config
[switch-trafficpolicy-tp1] classifier tc1 behavior tb1
[switch-trafficpolicy-tp1] classifier tc2 behavior tb2

流策略tp1的配置顺序为config，匹配顺序由流分类规则优先级决定：

• 如果未配置优先级，或者不支持流分类规则优先级配置，则按照配置顺序生效。tc1先配置，因此报文优先匹配tc1的规则，执行tb1的动作，匹配之后不会再进行下一步规则查找。
• 如果框式设备配置了流分类规则优先级，则按照优先级配置大小生效，数值越小，优先级越高。

如果流策略tp1的配置顺序为auto，匹配顺序由系统预先指定的流分类类型的优先级决定：

• 该优先级由高到低依次为：二层规则+三层规则 > 高级ACL6规则 > 基本ACL6规则 > 二层规则 > 三层规则 > 自定义ACL规则（部分设备在某些情况下，三层规则 > 二层规则）。
• 流分类tc1中定义的规则属于二层规则+三层规则，因此优先级较高，报文优先匹配tc1的规则，执行tb1的动作，匹配之后不会执行tb2的流动作。

对于不支持配置match-order参数的盒式设备，报文按照配置顺序进行匹配。

应用流策略

流策略配置完之后，需要选择该策略在设备上生效的范围。流策略可以应用在接口、VLAN和全局的出方向和入方向，其中接口包括物理接口、子接口、VLANIF接口和Eth-Trunk接口等。以接口为例，在指定接口入方向应用某个流策略，表示对进入该接口且匹配流分类规则的流量执行指定动作。如下所示：

[switch] interface GigabitEthernet 1/0/1
[switch-GigabitEthernet1/0/1] traffic-policy tp1 inbound

同一台设备上面可以配置多个流策略，同一个流策略也可以应用在多个视图下。因此报文有可能会同时匹配多个流策略，那到底哪个流策略会生效呢？根据流分类规则是否属于同一类，分为以下两种情况。

当流分类属于同一类时，流策略的生效规则如下图所示：

当流分类规则不属于同一类时，流策略的生效规则如下图所示：

比如，设备上还配置了一个流策略tp2，且应用在VLAN30上。

[switch] traffic policy tp2 match-order config
[switch-trafficpolicy-tp2] classifier tc1 behavior tb1
[switch-trafficpolicy-tp2] quit
[switch] vlan 30
[switch-vlan30] traffic-policy tp2 inbound

从配置可以看出流分类规则均为tc1，但是因为接口的生效优先级高于VLAN，因此只有流策略tp1生效。

MQC配置举例

前面我们已经分别介绍了配置MQC的四个步骤，现在我们来看一下一个完整的MQC配置过程是怎样的。

以下面的组网为例，假设部门1的用户均属于VLAN10，部门2的用户均属于VLAN20，用户希望为部门1提供8Mbit/s的带宽，为部门2提供6Mbit/s的带宽。

此处省略接口和VLAN等基本配置。

[LSW1] traffic classifier bumen1
[LSW1-classifier- bumen1] if-match vlan-id 10 //匹配部门1的流量
[LSW1-classifier- bumen1] quit
[LSW1] traffic classifier bumen2
[LSW1-classifier- bumen2] if-match vlan-id 20 //匹配部门2的流量
[LSW1-classifier- bumen2] quit
[LSW1] traffic behavior bumen1
[LSW1-behavior-bumen1] car cir 8000 pir 10000 green pass //限制部门1的流量为8Mbit/s
[LSW1-behavior-bumen1] quit
[LSW1] traffic behavior bumen2
[LSW1-behavior-bumen2] car cir 6000 pir 10000 green pass //限制部门2的流量为6Mbit/s
[LSW1-behavior-bumen2] quit
[LSW1] traffic policy xiansu
[LSW1-trafficpolicy-xiansu] classifier bumen1 behavior bumen1 //将流分类和流行为绑定
[LSW1-trafficpolicy-xiansu] classifier bumen2 behavior bumen2
[LSW1-trafficpolicy-xiansu] quit
[LSW1] interface gigabitethernet 0/0/3
[LSW1-GigabitEthernet0/0/3] traffic-policy xiansu outbound //在接口出方向应用该策略
[LSW1-GigabitEthernet0/0/3] quit

小结

MQC作为一种实现QoS技术的理念，可以完成QoS技术中的流量监管和限速，报文的分类和重标记。除了MQC外，优先级映射提供了另一种报文分类和标记的方法，前面提到的802.1p优先级、DSCP优先级和本地优先级将在后面的优先级映射专题中进行详细介绍。