09 G006 ACLQoS 42P.ppt

ACL QoS 教学目标 掌握ACL 的原理和功能 掌握QoS 的原理和功能 主要内容 ACL原理 QoS原理 ACL概念 ACL（Access Control List， 访问控制列表）是一种对经过路由器的数据流进行判断、分类和过滤的方法。 ACL的应用主要有： 将ACL应用到接口上。 其主要作用是根据数据包与数据段的特征来进行判断，决定是否允许数据包通过路由器转发。 其主要目的是对数据流量进行管理和控制。 使用ACL实现策略路由和特殊流量的控制。 在一个ACL中可以包含一条或多条特定类型的IP数据报的规则。ACL可以简单到只包括一条规则，也可以是复杂到包括很多规则。通过多条规则来定义与规则中相匹配的数据分组。 ACL作为一个通用的数据流量的判别标准还可以和其他技术配合，应用在不同的场合，例如：防火墙、QOS与队列技术、策略路由、数据速率限制、路由策略、NAT等。 ACL工作流程 ACL 内部的判断原则 ACL的判别标准 ACL可以使用的判别标准包括： 源IP 目的IP 协议类型（IP、UDP、TCP、ICMP） 源端口号 目的端口号 ACL的判别标准 ACL的规则 按照由上到下的顺序执行，找到第一个匹配后既执行相应的操作，然后跳出ACL，不继续匹配后面的语句。 末尾隐含为deny全部。 ACL可应用于IP接口或某种服务。 在引用ACL之前，要首先创建好ACL，否则可能出现错误。 对于一个协议，一个接口的一个方向上同一时间内只能设置一个ACL，并且ACL配置在接口上的方向很重要，如果配置错误可能不起作用。 显示ACL ACL的功能 通常使用ACL实现对数据报文的过滤、策略路由以及特殊流量的控制。 一个ACL中可以包含一条或多条针对特定类型数据包的规则。这些规则告诉设备，对于与规则中规定的选择标准相匹配的数据包是允许还是拒绝通过。 一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。 ACL的功能 ACL一般分为以下8种类型。 基本ACL：只对源IP地址进行匹配。 扩展ACL：对源IP地址、目的IP地址、IP协议类型、TCP源端口号、TCP目的端口号、UDP源端口号、UDP目的端口号、ICMP类型、ICMP Code、DSCP（DiffServ Code Point）、ToS、Precedence进行匹配。 二层ACL：对源MAC地址、目的MAC地址、源VLAN ID、二层以太网协议类型、802.1p优先级值进行匹配。 混合ACL：对源MAC地址、目的MAC地址、源VLAN ID、源IP地址、目的IP地址、TCP源端口号、TCP目的端口号、UDP源端口号、UDP目的端口号进行匹配。 基本IPv6 ACL：只对IPv6的源IP地址进行匹配。 扩展IPv6 ACL：对IPv6的源和目的地址进行匹配。 用户自定义ACL：对VLAN TAG的个数和偏移字节进行匹配。 ATM ACL：对VPI、VCI、时间段进行匹配。 ACL的功能 ACL访问表号： 基本ACL：1~99，1000~1499 扩展ACL：100~199，1500~1999 二层ACL：200~299 混合ACL：300~349 基本IPv6 ACL：2000~2499 扩展IPv6 ACL：2500~2999 用户自定义ACL：3000~3499 ATM ACL：4000~4499 标准ACL和扩展ACL的比较 主要内容 ACL原理 QoS原理 QoS的基本概念 IP QoS是指IP网络的一种能力，即在跨越多种底层网络技术（FR、ATM、Ethernet、 SDH等）的IP网络上，为特定的业务提供其所需要的服务。 QoS需要完成以下的工作： 避免并管理IP网络拥塞。 减少IP报文的丢包率。 调控IP网络的流量。 为特定用户或特定业务提供专用带宽。 支撑IP网络上的实时业务。 QoS模型 Integrated service：综合服务模型，简称Intserv Differentiated service：差分服务模型，简称Diffserv IntServ模型 DiffServ模型 DiffServ即差分服务模型，可以满足用户不同的QoS需求，易于扩展。 与IntServ不同，它不需要信令，逐跳转发，即在一个业务发出报文前，不需要通知路由器。 DiffServ是基于DSCP的QoS解决方案。 在网络入口处根据服务要求对业务进行分类、流量控制，同时设置报文的DSCP域。 在网络中根据QoS机制并依据分组的DSCP值来区分每一类通信，为之服务，包括资源分配、队列调度、分组丢弃策略等，统称为PHB（per-hop behavior）。 DiffS