ACL访问控制列表、Qos 服务质量和策略路由三项技术应用非常广泛,虽然ACL、Qos和策略路由技术出现很长时间了,但并没有因为时光的消磨而退却,反而在网络部署时越来越体现出其灵活性、优越性和实用性。
1、技术简介
ACL(访问控制列表,Access Control List)是对报文匹配条件判断语句的集合,主要用于识别报文流。例如识别报文的源地址、目的地址、端口号、源MAC 地址、目的MAC地址、802.1P 优先级、链路层协议、时间协议等。ACL 不能对识别的报文进行处理动作,只能由应用ACL 的业务模块来处理这些报文。ACL 一般分为两类,即基本ACL 和扩展ACL。有的厂商又自定义了一些ACL 分类,分类更精确了。例如H3C 的ACL分类为:基本ACL(编号范围:2000-2999),高级ACL(编号范围:3000-3999),二层ACL(编号范围:4000-4999),用户自定义ACL(编号范围:5000-5999)。
Qos(服务质量,Quality of Service)是与ACL 结合最为紧密的技术之一。它的应用降低了传送时延、丢包率和时延抖动等,从而保障了业务的传输带宽,提高了网络服务质量。Qos能实现流量分类、流量监管、流量整形、接口限速、拥塞管理和规避等。主要有三种服务类型,即Best-Effort Service(尽力而为服务)、Integrated Service(综合服务,简称IntServ)、Differentiated Service(区分服务,简称DiffServ)。
策略路由是一种可基于报文源和目的地址等信息制定策略,满足已通过匹配定义的ACL 列表的报文实现策略路由,从而从指定的接口转发需求的技术。按照策略路由作用对象不同,可分为本地和接口策略路由;按照处理方式可分为强(制)策略路由和弱策略路由。
2、应用背景、难点分析及解决方案
2.1 应用背景
2012 年我单位对数据中心进行了改造,引入了两台H3C S12500 系列路由交换机和H3CSecPath 路由级防火墙。两台核心交换采用IRF2 虚拟化部署,堆叠虚拟成一台设备;核心交换双线路聚合后上联路由防火墙;原计费系统作为另一条上联线路,以透明方式串接到核心交换和防火墙之间;新计费系统不作为网关存在,真正的网关是核心交换。
2.2 难点分析
由于两台核心交换各内置了一块ACG流量控制板卡对内网用户数据进行流量控制和数据整形,两块ACG 流控板卡互为备份,ACG板卡作为应用层控制,需禁止广播包、多播包和ARP;一部分用户沿用原计费系统,大部分用户使用系计费系统。这都涉及到复杂的用户流量控制和策略引流。下面以内网访问外网的数据流走向举例进行分析。
(1)用户数据报文上行走向:用户计算机→接入层交换→汇聚交换→三层交换流量控制板卡→三层交换路由表→路由选路:原计费系统用户策略路由至相应VLAN网关,然后经原计费系统认证,最后到达路由防火墙相应端口;同时新系统用户经新身份认证系统认证后,经默认路由,下一跳至路由防火墙相应端口。
(2)用户接收数据报文下行走向:原路径返回。经分析,这里面涉及到数据流量的二次引流问题。第一次,将所有用户数据报文引流至ACG流量控制板卡;第二次,将从ACG 板卡出来的使用原计费系统用户数据报文引流至原计费系统VLAN网关。
2.3 解决方案
流量控制方案采用MQC方式配置:对所有用户定义ACG引流列表ACL3001、ACL3002 和ACL4000;定义流分类、流行为、重定向策略;在三层交换汇聚端口下发策略;配置两块ACG板卡内联口。
对原计费系统用户采用PBR 策略路由引流:对使用原计费系统用户,以IP 地址分类定义ACL2001;以ACL2001配置策略路由;在原计费系统用户VLAN模式,下发路由策略。
3、技术实践
依据解决方案,设备组网调试时做了如下配置。
3.1 MQC方式配置流控
3.1.1 定义两块ACG 插卡的ACL 列表
acl number 3001
description Match-ALL-Address
rule 0 permit ip
acl number 3002
description Match-ALL-Address
rule 0 permit ip
acl number 4000
description Match-Multicast-BrOAdcast-ARP
rule 0 permit dest-mac 0100-0000-0000 ff00-0000-0000
rule 5 permit dest-mac ffff-ffff-ffff ffff-ffff-ffff
rule 10 permit type 0806 ffff
3.1.2 定义流分类
traffic classifier All-Address-1 operator and
if-match acl 3001
if-match forwarding-layer route
traffic classifier All-Address-2 operator and
if-match acl 3002
if-match forwarding-layer route
traffic classifier Multicast-Broadcast-ARP operator and
if-match acl 4000 定义流行为
traffic behavior Deny-Multicast-Broadcast-ARP
filter deny //拒绝多播、广播和ARP
traffic behavior Redirect-To-ACG-1 //重定向到ACG1
redirect interface Ten-GigabitEthernet1/9/0/1
traffic behavior Redirect-To-ACG-2 //重定向到ACG2
redirect interface Ten-GigabitEthernet2/9/0/1
traffic behavior Allow
filter permit 重定向策略
qos policy up_stream //上行流量策略
classifier Multicast-Broadcast-ARP behavior Allow //多播广播ARP通过
classifier Internal-Flow-1 behavior Allow //流分类对应流行为
classifier All-Address-2 behavior Redirect-To-ACG-2 //正常时上行流量走ACG2
classifier All-Address-1 behavior Redirect-To-ACG-1 //上条策略失效后,上行流量走ACG1
qos policy Deny-Multicast-Broadcast-ARP
classifier Multicast-Broadcast-ARP behavior Deny-Multicast-
Broadcast-ARP //拒绝多播、广播和ARP
qos policy down_stream //下行流量策略
classifier Multicast-Broadcast-ARP behavior Allow //多播广播ARP通过
classifier All-Address-2 behavior Redirect-To-ACG-2 //正常时下行流量走ACG2
classifier All-Address-1 behavior Redirect-To-ACG-1 //上条策略失效后,下行流量走ACG1
3.1.3 在三层交换汇聚接入端口下发策略
interface GigabitEthernet1/2/0/3
port link-mode bridge
description 图书馆
port link-type trunk
port trunk permit vlan 1 to 167 169 to 191 193 to 1079 1088 to 4094
qos apply policy up_streaminbound //上行流量重定向至ACG内联口
port link-aggregation group 12
3.1.4 两块ACG插卡万兆内联口配置
interface Ten-GigabitEthernet1/9/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 19 to 22 29 to 34 36 to 38 44 to 47
49 to 53 56 to 59 61 to 62 66 to 70 80
port trunk permit vlan 85 to 88 99 110 to 112 168 192 218
stp disable
qos apply policy Deny-Multicast-Broadcast-ARP inbound
mac-address max-mac-count 0
interface Ten-GigabitEthernet2/9/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 19 to 21 29 to 34 36 to 38 44 to 47
49 to 53 56 to 59 61 to 62 66 to 70 80
port trunk permit vlan 85 to 88 99 110 to 112 168 192 218
stp disable
qos apply policy Deny-Multicast-Broadcast-ARP inbound
mac-address max-mac-count 0
3.2 PBR策略路由及ACG 引流配置举例
3.2.1 对使用原计费系统的用户以IP 地址分类在三层交换上建立ACL2001 列表
acl number 2001
description策略路由列表,以使用原计费系统的IP地址段
rule 0 permit source 192.168.33.96 0.0.0.31
rule 5 permit source 192.168.33.128 0.0.0.31
rule 10 permit source 192.168.33.160 0.0.0.15
rule 15 permit source 192.168.45.0 0.0.0.255
……………………
3.2.2 配置PBR 策略路由-凡是符合此列表的IP 地址将被转发至防火墙相应端口
policy-based-route eyou permit node 1
if-match acl 2001
apply ip-address next-hop 192.168.168.168
3.2.3 在三层交换vlan 下发PBR 策略路由
interface Vlan-interface33
description WenXianJianSuo
ip address 192.168.33.254 255.255.255.0
ip policy-based-route eyou //下发PBR策略路由
3.2.4 三层交换以太网端口配置
interface GigabitEthernet2/4/0/4
port link-mode bridge
description 此端口连接原计费系统上行接口-->再到防火墙以太网口G2/6
port access vlan 168
qos apply policy down_stream inbound //下行流量重定向到ACG内联口
3.2.5 防火墙端口配置
interface GigabitEthernet2/6
port link-mode route
description to此端口连接原计费系统下行接口_再到三层交换G2/4/0/4
ip address 192.168.168.168 255.255.255.0
4、结语
此解决方案有机地结合了三种应用技术,有效地解决了虚拟化交换设备中多插卡业务数据流向控制问题,对数据报文按要求转发给出了一种解决方案。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
相关文章
