ACL訪問(wèn)控制列表、Qos 服務(wù)質(zhì)量和策略路由三項(xiàng)技術(shù)應(yīng)用非常廣泛，雖然ACL、Qos和策略路由技術(shù)出現(xiàn)很長(zhǎng)時(shí)間了，但并沒(méi)有因?yàn)闀r(shí)光的消磨而退卻，反而在網(wǎng)絡(luò)部署時(shí)越來(lái)越體現(xiàn)出其靈活性、優(yōu)越性和實(shí)用性。

　　1、技術(shù)簡(jiǎn)介

　　ACL(訪問(wèn)控制列表，Access Control List)是對(duì)報(bào)文匹配條件判斷語(yǔ)句的集合，主要用于識(shí)別報(bào)文流。例如識(shí)別報(bào)文的源地址、目的地址、端口號(hào)、源MAC 地址、目的MAC地址、802.1P 優(yōu)先級(jí)、鏈路層協(xié)議、時(shí)間協(xié)議等。ACL 不能對(duì)識(shí)別的報(bào)文進(jìn)行處理動(dòng)作，只能由應(yīng)用ACL 的業(yè)務(wù)模塊來(lái)處理這些報(bào)文。ACL 一般分為兩類，即基本ACL 和擴(kuò)展ACL。有的廠商又自定義了一些ACL 分類，分類更精確了。例如H3C 的ACL分類為：基本ACL(編號(hào)范圍：2000-2999)，高級(jí)ACL(編號(hào)范圍：3000-3999)，二層ACL(編號(hào)范圍：4000-4999)，用戶自定義ACL(編號(hào)范圍：5000-5999)。

　　Qos(服務(wù)質(zhì)量，Quality of Service)是與ACL 結(jié)合最為緊密的技術(shù)之一。它的應(yīng)用降低了傳送時(shí)延、丟包率和時(shí)延抖動(dòng)等，從而保障了業(yè)務(wù)的傳輸帶寬，提高了網(wǎng)絡(luò)服務(wù)質(zhì)量。Qos能實(shí)現(xiàn)流量分類、流量監(jiān)管、流量整形、接口限速、擁塞管理和規(guī)避等。主要有三種服務(wù)類型，即Best-Effort Service(盡力而為服務(wù))、Integrated Service(綜合服務(wù)，簡(jiǎn)稱IntServ)、Differentiated Service(區(qū)分服務(wù)，簡(jiǎn)稱DiffServ)。

　　策略路由是一種可基于報(bào)文源和目的地址等信息制定策略，滿足已通過(guò)匹配定義的ACL 列表的報(bào)文實(shí)現(xiàn)策略路由，從而從指定的接口轉(zhuǎn)發(fā)需求的技術(shù)。按照策略路由作用對(duì)象不同，可分為本地和接口策略路由；按照處理方式可分為強(qiáng)(制)策略路由和弱策略路由。

　　2、應(yīng)用背景、難點(diǎn)分析及解決方案

　　2.1 應(yīng)用背景

　　2012 年我單位對(duì)數(shù)據(jù)中心進(jìn)行了改造，引入了兩臺(tái)H3C S12500 系列路由交換機(jī)和H3CSecPath 路由級(jí)防火墻。兩臺(tái)核心交換采用IRF2 虛擬化部署，堆疊虛擬成一臺(tái)設(shè)備；核心交換雙線路聚合后上聯(lián)路由防火墻；原計(jì)費(fèi)系統(tǒng)作為另一條上聯(lián)線路，以透明方式串接到核心交換和防火墻之間；新計(jì)費(fèi)系統(tǒng)不作為網(wǎng)關(guān)存在，真正的網(wǎng)關(guān)是核心交換。

　　2.2 難點(diǎn)分析

　　由于兩臺(tái)核心交換各內(nèi)置了一塊ACG流量控制板卡對(duì)內(nèi)網(wǎng)用戶數(shù)據(jù)進(jìn)行流量控制和數(shù)據(jù)整形，兩塊ACG 流控板卡互為備份，ACG板卡作為應(yīng)用層控制，需禁止廣播包、多播包和ARP；一部分用戶沿用原計(jì)費(fèi)系統(tǒng)，大部分用戶使用系計(jì)費(fèi)系統(tǒng)。這都涉及到復(fù)雜的用戶流量控制和策略引流。下面以內(nèi)網(wǎng)訪問(wèn)外網(wǎng)的數(shù)據(jù)流走向舉例進(jìn)行分析。

　　(1)用戶數(shù)據(jù)報(bào)文上行走向：用戶計(jì)算機(jī)→接入層交換→匯聚交換→三層交換流量控制板卡→三層交換路由表→路由選路：原計(jì)費(fèi)系統(tǒng)用戶策略路由至相應(yīng)VLAN網(wǎng)關(guān)，然后經(jīng)原計(jì)費(fèi)系統(tǒng)認(rèn)證，最后到達(dá)路由防火墻相應(yīng)端口；同時(shí)新系統(tǒng)用戶經(jīng)新身份認(rèn)證系統(tǒng)認(rèn)證后，經(jīng)默認(rèn)路由，下一跳至路由防火墻相應(yīng)端口。

　　(2)用戶接收數(shù)據(jù)報(bào)文下行走向：原路徑返回。經(jīng)分析，這里面涉及到數(shù)據(jù)流量的二次引流問(wèn)題。第一次，將所有用戶數(shù)據(jù)報(bào)文引流至ACG流量控制板卡；第二次，將從ACG 板卡出來(lái)的使用原計(jì)費(fèi)系統(tǒng)用戶數(shù)據(jù)報(bào)文引流至原計(jì)費(fèi)系統(tǒng)VLAN網(wǎng)關(guān)。

　　2.3 解決方案

　　流量控制方案采用MQC方式配置：對(duì)所有用戶定義ACG引流列表ACL3001、ACL3002 和ACL4000；定義流分類、流行為、重定向策略；在三層交換匯聚端口下發(fā)策略；配置兩塊ACG板卡內(nèi)聯(lián)口。

　　對(duì)原計(jì)費(fèi)系統(tǒng)用戶采用PBR 策略路由引流：對(duì)使用原計(jì)費(fèi)系統(tǒng)用戶，以IP 地址分類定義ACL2001；以ACL2001配置策略路由；在原計(jì)費(fèi)系統(tǒng)用戶VLAN模式，下發(fā)路由策略。

　　3、技術(shù)實(shí)踐

　　依據(jù)解決方案，設(shè)備組網(wǎng)調(diào)試時(shí)做了如下配置。

　　3.1 MQC方式配置流控

　　3.1.1 定義兩塊ACG 插卡的ACL 列表

　　acl number 3001

　　description Match-ALL-Address

　　rule 0 permit ip

　　acl number 3002

　　description Match-ALL-Address

　　rule 0 permit ip

　　acl number 4000

　　description Match-Multicast-BrOAdcast-ARP

　　rule 0 permit dest-mac 0100-0000-0000 ff00-0000-0000

　　rule 5 permit dest-mac ffff-ffff-ffff ffff-ffff-ffff

　　rule 10 permit type 0806 ffff

　　3.1.2 定義流分類

　　traffic classifier All-Address-1 operator and

　　if-match acl 3001

　　if-match forwarding-layer route

　　traffic classifier All-Address-2 operator and

　　if-match acl 3002

　　if-match forwarding-layer route

　　traffic classifier Multicast-Broadcast-ARP operator and

　　if-match acl 4000 定義流行為

　　traffic behavior Deny-Multicast-Broadcast-ARP

　　filter deny //拒絕多播、廣播和ARP

　　traffic behavior Redirect-To-ACG-1 //重定向到ACG1

　　redirect interface Ten-GigabitEthernet1/9/0/1

　　traffic behavior Redirect-To-ACG-2 //重定向到ACG2

　　redirect interface Ten-GigabitEthernet2/9/0/1

　　traffic behavior Allow

　　filter permit 重定向策略

　　qos policy up_stream //上行流量策略

　　classifier Multicast-Broadcast-ARP behavior Allow //多播廣播ARP通過(guò)

　　classifier Internal-Flow-1 behavior Allow //流分類對(duì)應(yīng)流行為

　　classifier All-Address-2 behavior Redirect-To-ACG-2 //正常時(shí)上行流量走ACG2

　　classifier All-Address-1 behavior Redirect-To-ACG-1 //上條策略失效后，上行流量走ACG1

　　qos policy Deny-Multicast-Broadcast-ARP

　　classifier Multicast-Broadcast-ARP behavior Deny-Multicast-

　　Broadcast-ARP //拒絕多播、廣播和ARP

　　qos policy down_stream //下行流量策略

　　classifier Multicast-Broadcast-ARP behavior Allow //多播廣播ARP通過(guò)

　　classifier All-Address-2 behavior Redirect-To-ACG-2 //正常時(shí)下行流量走ACG2

　　classifier All-Address-1 behavior Redirect-To-ACG-1 //上條策略失效后，下行流量走ACG1

　　3.1.3 在三層交換匯聚接入端口下發(fā)策略

　　interface GigabitEthernet1/2/0/3

　　port link-mode bridge

　　description 圖書(shū)館

　　port link-type trunk

　　port trunk permit vlan 1 to 167 169 to 191 193 to 1079 1088　to 4094

　　qos apply policy up_streaminbound //上行流量重定向至ACG內(nèi)聯(lián)口

　　port link-aggregation group 12

　　3.1.4 兩塊ACG插卡萬(wàn)兆內(nèi)聯(lián)口配置

　　interface Ten-GigabitEthernet1/9/0/1

　　port link-mode bridge

　　port link-type trunk

　　port trunk permit vlan 1 19 to 22 29 to 34 36 to 38 44 to 47

　　49 to 53 56 to 59 61 to 62 66 to 70 80

　　port trunk permit vlan 85 to 88 99 110 to 112 168 192 218

　　stp disable

　　qos apply policy Deny-Multicast-Broadcast-ARP inbound

　　mac-address max-mac-count 0

　　interface Ten-GigabitEthernet2/9/0/1

　　port link-mode bridge

　　port link-type trunk

　　port trunk permit vlan 1 19 to 21 29 to 34 36 to 38 44 to 47

　　49 to 53 56 to 59 61 to 62 66 to 70 80

　　port trunk permit vlan 85 to 88 99 110 to 112 168 192 218

　　stp disable

　　qos apply policy Deny-Multicast-Broadcast-ARP inbound

　　mac-address max-mac-count 0

　　3.2 PBR策略路由及ACG 引流配置舉例

　　3.2.1 對(duì)使用原計(jì)費(fèi)系統(tǒng)的用戶以IP 地址分類在三層交換上建立ACL2001 列表

　　acl number 2001

　　description策略路由列表,以使用原計(jì)費(fèi)系統(tǒng)的IP地址段

　　rule 0 permit source 192.168.33.96 0.0.0.31

　　rule 5 permit source 192.168.33.128 0.0.0.31

　　rule 10 permit source 192.168.33.160 0.0.0.15

　　rule 15 permit source 192.168.45.0 0.0.0.255

　　……………………

　　3.2.2 配置PBR 策略路由-凡是符合此列表的IP 地址將被轉(zhuǎn)發(fā)至防火墻相應(yīng)端口

　　policy-based-route eyou permit node 1

　　if-match acl 2001

　　apply ip-address next-hop 192.168.168.168

　　3.2.3 在三層交換vlan 下發(fā)PBR 策略路由

　　interface Vlan-interface33

　　description WenXianJianSuo

　　ip address 192.168.33.254 255.255.255.0

　　ip policy-based-route eyou //下發(fā)PBR策略路由

　　3.2.4 三層交換以太網(wǎng)端口配置

　　interface GigabitEthernet2/4/0/4

　　port link-mode bridge

　　description 此端口連接原計(jì)費(fèi)系統(tǒng)上行接口-->再到防火墻以太網(wǎng)口G2/6

　　port access vlan 168

　　qos apply policy down_stream inbound //下行流量重定向到ACG內(nèi)聯(lián)口

　　3.2.5 防火墻端口配置

　　interface GigabitEthernet2/6

　　port link-mode route

　　description to此端口連接原計(jì)費(fèi)系統(tǒng)下行接口_再到三層交換G2/4/0/4

　　ip address 192.168.168.168 255.255.255.0

　　4、結(jié)語(yǔ)

　　此解決方案有機(jī)地結(jié)合了三種應(yīng)用技術(shù)，有效地解決了虛擬化交換設(shè)備中多插卡業(yè)務(wù)數(shù)據(jù)流向控制問(wèn)題，對(duì)數(shù)據(jù)報(bào)文按要求轉(zhuǎn)發(fā)給出了一種解決方案。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：ACL、Qos 和策略路由在數(shù)據(jù)中心的應(yīng)用

本文網(wǎng)址：http://www.ezxoed.cn/html/support/11121510726.html