中兴59系列ACL和QoS功能介绍及相关配置.pptVIP

59系列交换机ACLQoS功能介绍及相关配置 主要内容 一、ACL(Access Control List)的基本原理 二、59系列交换机中ACL功能及相关配置 三、QoS(Quanlity of Service)的基本原理 四、59系列交换机中QoS的功能及相关配置 访问控制列表（ Access Control List ）：一个有序的语句(rule)集，它通过匹配报文中的信息与访问列表的参数，来允许或拒绝报文通过某个接口。 ACL是应用在路由器或交换机接口的指令列表。这些指令告诉路由器或三层交换机哪些分组可以接收以及哪些分组需要拒绝。接收和拒绝基于一定的条件，例如源地址、目标地址及TCP/IP端口号等。 限制网络流量，提高网络性能。例如，ACL能够基于分组的协议，指定一定分级的级别可被路由器优先处理。 提供流量控制。 提供网络访问的基本安全级别。例如，ACL允许一个主机访问你的网络的一部分，而阻止其它主机访问相同区域。 在路由器/交换机接口上配置ACL决定哪种流量被转发或被阻塞。 创建一个ACL时顺序是至关重要的 当流量进入应用了ACL的接口时，交换机内部的操作系统软件会将分组跟ACL中定义的规则相比较。比较判断是按照网络管理员在ACL中输入的语句顺序执行的。当比较分组时，一次一句按顺序比较，直到与某一条语句匹配。一旦与某一条语句匹配，就执行匹配的语句行中所指定的动作，不再检查其他条件语句。如果所有的条件语句都没有被匹配，则最后将强加一条拒绝全部流量的暗含语句。即使这条拒绝全部流量的语句在ACL中最后一行是看不到的，缺省的情况下在最后也是拒绝所有的流量。  当一个分组进入某一个接口时，会首先检查该分组是否可路由或可桥接，然后会检查是否在入接口上应用了ACL。如果有ACL，就将该分组与列表中的条件语句相比较。如果分组被允许通过，就继续检查路由选择表条目以决定转发到的目的接口。 主要内容 一、ACL(Access Control List)的基本原理 二、59系列交换机中ACL功能及相关配置 三、QoS(Quanlity of Service)的基本原理 四、59系列交换机中QoS的功能及相关配置 59系列交换机中对ACL的控制只在数据流进入交换机的时候作了控制，即只有in单方向的，在out方向无法作ACL控制。 当ACL表中无任何规则时，应用到端口上表示permit any 当ACL中存在一条或一条以上规则，则表中默认最后一条规则为deny any 一条ACL rule配置完成后，必须退出ACL配置模式该条目方可生效 访问控制列表分类 ACL流过滤 流过滤就是将与ACL规则匹配的数据流进行过滤操作： 丢弃操作（deny），该操作将匹配流分类规则的数据流丢弃，而允许其他所有流量通过。管理员使用此方式丢弃那些无用的、不可靠、值得怀疑的业务流，从而增强网络的安全性。 允许操作（permit），该操作对匹配流分类规则的数流不作丢弃处理，允许通过 Time-range配置 扩展ACL：可以根据源IP地址、目的IP地址、IP协议号、UDP/TCP传输层的目的端口号和源端口号（称之为IP五元组），ICMP，TOS字段、PRECEDENCE字段、FRAGMENT字段、TCP established字段等来进行报文控制。 二层ACl：可以针对二层的数据帧里面的字段如源MAC地址，目的MAC地址，802.1p user priority字段优先级，vlan-id进行过滤。 混合ACl：通过二层MAC地址、VLAN信息和三层的IP五元组信息进行数据流控制，它可以看作扩展ACL和二层ACL的综合 主要内容 一、ACL(Access Control List)的基本原理 二、59系列交换机中ACL功能及相关配置 三、QoS(Quanlity of Service)的基本原理 四、59系列交换机中QoS的功能及相关配置 QOS基本概念 QOS是一组服务要求，其目标是为网络通信建立一个有保证的传输系统。本文所指的QOS是IP QOS，QOS主要有IETF建议的综合服务(IntServ-Integrated Services Architecture)体系和区分服务(DiffServ-Differentiated Services Architecture)两种体系结构。59上只支持区分服务的QOS模型。 主要内容 一、ACL(Access Control List)的基本原理 二、59系列交换机中ACL功能及相关配置 三、QoS(Quanlity of Service)的基本原理 四、59系列交换机中QoS的功能及相关配置 59交换机QoS的主要功能 流分类：对通过交换机的报文进