1、华为交换机端口镜像设置system-view[HUAWEI]observe-port1interfacegigabitethernet1/0/1(配置观察端口)[HUAWEI]interfacegigabitethernet2/0/1[HUAWEI-GigabitEthernet2/0/1]port-mirroringtoobserve-port1inbound(配置镜像端口)2、华为交换机ACL控制列表和包过滤设置ACL控制列表种类:、标准访问控制列表:只能使用源地址描述数据,表明是允许还是拒绝命令格式:aclXXXrulepermit/denysourcesource_addresssource_wildcard/anyeg:acl1199rulepermitsource192.168.1.00.0.0.255(允许源地址为192.168.1.0网段的数据包通过)、扩展访问控制列表:在标准控制列表的基础上添加基于协议和端口号的控制3、流策略(TrafficPolicy)用于QoS复杂流分类,实现丰富的QoS策略。TrafficPolicy分为三部分:、流分类(Classifier)模板:定义流量类型。一个Classifier可以配置一条或多条if-match语句,if-match语句中可以引用ACL规则。不同的Classifier模板可以应用相同的ACL规则。一个ACL规则可以配置一个或多个Rule语句。、流动作(Behavior)模板:指,用于定义针对该类流量可实施的流动作。一个Behavior可以定义一个或多个动作。、流策略(TrafficPolicy)模板:将流分类Classifier和流动作Behavior关联,成为一个Classifier&Behavior对。当TrafficPolicy模板设置完毕之后,需要将TrafficPolicy模板应用到接口上才能使策略生效。Classifier&Behavior对之间的匹配顺序一个Traffic-policy中可以配置一个或多个Classifier&Behavior对。当收到一个报文,做复杂流分类处理时,会按照Traffic-policy中Classifier&Behavior对的配置顺序进行匹配。如果命中,则停止匹配;如果不命中,则匹配后面的Classifier;如果是最后一个Classifier,且还不命中,则报文走正常的转发处理,类似于没有应用流分类策略。Classifier之间的顺序可以通过命令行classifierclassifier-namebehaviorbehavior-nameprecedenceprecedence修改。例如,Traffic-policyT中配置了A、B、C三个Classifier:#trafficpolicyTclassifierAbehaviorAclassifierBbehaviorBclassifierCbehaviorC#缺省情况下,A、B、C三个Classifier的顺序分别是1、2和3,与配置的顺序相同。如果要将A排在最后,可以执行如下命令:classifierAbehaviorAprecedence4结果是:#trafficpolicyTclassifierBbehaviorBclassifierCbehaviorCclassifierAbehaviorAprecedence4#此时,B之前的顺序号1没有被占用,因此可以在B之前添加一个Classifier(假设是D),则可执行如下命令实现。classifierDbehaviorDprecedence1结果是:#trafficpolicyTclassifierDbehaviorDprecedence1classifierBbehaviorBclassifierCbehaviorCclassifierAbehaviorAprecedence4#如果按如下方法,不指定precedence值的方式添加D,classifierDbehaviorD结果如下:#trafficpolicyTclassifierBbehaviorBclassifierCbehaviorCclassifierAbehaviorAprecedence4classifierDbehaviorD#If-match语句之间的匹配顺序由于Classifier中配置的是一个或多个if-match语句,按照if-match语句配置顺序进行匹配。报文命中if-match语句后,是否执行对应的behavior动作,取决于If-match语句之间是And还是Or逻辑。If-match语句之间的And和Or逻辑如果流分类模板下配置了多个if-match语句,则这些语句之间有And和Or两种逻辑关系:Or逻辑:数据包只要匹配该流分类下的任何一条if-match语句定义的规则就属于该类。And逻辑:数据包必须匹配该流分类下的全部if-match语句才属于该类。流策略的执行过程(if-match语句间是Or逻辑)图2流策略的执行过程(Or逻辑)如图2,针对每个Classifier,如果If-match语句之间是Or逻辑,按照if-match语句配置顺序进行匹配,数据包一旦命中某个if-match语句:如果命中的if-match语句没有引用ACL,则执行behavior定义的动作。如果命中的if-match语句引用了ACL,且命中的是permit规则,则执行behavior定义的动作;命中的是deny规则,则直接丢弃报文。如果数据包没有命中任何if-match语句,则不支持任何动作,继续处理下一个Classifier。流策略的执行过程(if-match语句间是And逻...
