ACL訪問控制列表、Qos 服務質量和策略路由三項技術應用非常廣泛,雖然ACL、Qos和策略路由技術出現很長時間了,但并沒有因為時光的消磨而退卻,反而在網絡部署時越來越體現出其靈活性、優越性和實用性。
1、技術簡介
ACL(訪問控制列表,Access Control List)是對報文匹配條件判斷語句的集合,主要用于識別報文流。例如識別報文的源地址、目的地址、端口號、源MAC 地址、目的MAC地址、802.1P 優先級、鏈路層協議、時間協議等。ACL 不能對識別的報文進行處理動作,只能由應用ACL 的業務模塊來處理這些報文。ACL 一般分為兩類,即基本ACL 和擴展ACL。有的廠商又自定義了一些ACL 分類,分類更精確了。例如H3C 的ACL分類為:基本ACL(編號范圍:2000-2999),高級ACL(編號范圍:3000-3999),二層ACL(編號范圍:4000-4999),用戶自定義ACL(編號范圍:5000-5999)。
Qos(服務質量,Quality of Service)是與ACL 結合最為緊密的技術之一。它的應用降低了傳送時延、丟包率和時延抖動等,從而保障了業務的傳輸帶寬,提高了網絡服務質量。Qos能實現流量分類、流量監管、流量整形、接口限速、擁塞管理和規避等。主要有三種服務類型,即Best-Effort Service(盡力而為服務)、Integrated Service(綜合服務,簡稱IntServ)、Differentiated Service(區分服務,簡稱DiffServ)。
策略路由是一種可基于報文源和目的地址等信息制定策略,滿足已通過匹配定義的ACL 列表的報文實現策略路由,從而從指定的接口轉發需求的技術。按照策略路由作用對象不同,可分為本地和接口策略路由;按照處理方式可分為強(制)策略路由和弱策略路由。
2、應用背景、難點分析及解決方案
2.1 應用背景
2012 年我單位對數據中心進行了改造,引入了兩臺H3C S12500 系列路由交換機和H3CSecPath 路由級防火墻。兩臺核心交換采用IRF2 虛擬化部署,堆疊虛擬成一臺設備;核心交換雙線路聚合后上聯路由防火墻;原計費系統作為另一條上聯線路,以透明方式串接到核心交換和防火墻之間;新計費系統不作為網關存在,真正的網關是核心交換。
2.2 難點分析
由于兩臺核心交換各內置了一塊ACG流量控制板卡對內網用戶數據進行流量控制和數據整形,兩塊ACG 流控板卡互為備份,ACG板卡作為應用層控制,需禁止廣播包、多播包和ARP;一部分用戶沿用原計費系統,大部分用戶使用系計費系統。這都涉及到復雜的用戶流量控制和策略引流。下面以內網訪問外網的數據流走向舉例進行分析。
(1)用戶數據報文上行走向:用戶計算機→接入層交換→匯聚交換→三層交換流量控制板卡→三層交換路由表→路由選路:原計費系統用戶策略路由至相應VLAN網關,然后經原計費系統認證,最后到達路由防火墻相應端口;同時新系統用戶經新身份認證系統認證后,經默認路由,下一跳至路由防火墻相應端口。
(2)用戶接收數據報文下行走向:原路徑返回。經分析,這里面涉及到數據流量的二次引流問題。第一次,將所有用戶數據報文引流至ACG流量控制板卡;第二次,將從ACG 板卡出來的使用原計費系統用戶數據報文引流至原計費系統VLAN網關。
2.3 解決方案
流量控制方案采用MQC方式配置:對所有用戶定義ACG引流列表ACL3001、ACL3002 和ACL4000;定義流分類、流行為、重定向策略;在三層交換匯聚端口下發策略;配置兩塊ACG板卡內聯口。
對原計費系統用戶采用PBR 策略路由引流:對使用原計費系統用戶,以IP 地址分類定義ACL2001;以ACL2001配置策略路由;在原計費系統用戶VLAN模式,下發路由策略。
3、技術實踐
依據解決方案,設備組網調試時做了如下配置。
3.1 MQC方式配置流控
3.1.1 定義兩塊ACG 插卡的ACL 列表
acl number 3001
description Match-ALL-Address
rule 0 permit ip
acl number 3002
description Match-ALL-Address
rule 0 permit ip
acl number 4000
description Match-Multicast-BrOAdcast-ARP
rule 0 permit dest-mac 0100-0000-0000 ff00-0000-0000
rule 5 permit dest-mac ffff-ffff-ffff ffff-ffff-ffff
rule 10 permit type 0806 ffff
3.1.2 定義流分類
traffic classifier All-Address-1 operator and
if-match acl 3001
if-match forwarding-layer route
traffic classifier All-Address-2 operator and
if-match acl 3002
if-match forwarding-layer route
traffic classifier Multicast-Broadcast-ARP operator and
if-match acl 4000 定義流行為
traffic behavior Deny-Multicast-Broadcast-ARP
filter deny //拒絕多播、廣播和ARP
traffic behavior Redirect-To-ACG-1 //重定向到ACG1
redirect interface Ten-GigabitEthernet1/9/0/1
traffic behavior Redirect-To-ACG-2 //重定向到ACG2
redirect interface Ten-GigabitEthernet2/9/0/1
traffic behavior Allow
filter permit 重定向策略
qos policy up_stream //上行流量策略
classifier Multicast-Broadcast-ARP behavior Allow //多播廣播ARP通過
classifier Internal-Flow-1 behavior Allow //流分類對應流行為
classifier All-Address-2 behavior Redirect-To-ACG-2 //正常時上行流量走ACG2
classifier All-Address-1 behavior Redirect-To-ACG-1 //上條策略失效后,上行流量走ACG1
qos policy Deny-Multicast-Broadcast-ARP
classifier Multicast-Broadcast-ARP behavior Deny-Multicast-
Broadcast-ARP //拒絕多播、廣播和ARP
qos policy down_stream //下行流量策略
classifier Multicast-Broadcast-ARP behavior Allow //多播廣播ARP通過
classifier All-Address-2 behavior Redirect-To-ACG-2 //正常時下行流量走ACG2
classifier All-Address-1 behavior Redirect-To-ACG-1 //上條策略失效后,下行流量走ACG1
3.1.3 在三層交換匯聚接入端口下發策略
interface GigabitEthernet1/2/0/3
port link-mode bridge
description 圖書館
port link-type trunk
port trunk permit vlan 1 to 167 169 to 191 193 to 1079 1088 to 4094
qos apply policy up_streaminbound //上行流量重定向至ACG內聯口
port link-aggregation group 12
3.1.4 兩塊ACG插卡萬兆內聯口配置
interface Ten-GigabitEthernet1/9/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 19 to 22 29 to 34 36 to 38 44 to 47
49 to 53 56 to 59 61 to 62 66 to 70 80
port trunk permit vlan 85 to 88 99 110 to 112 168 192 218
stp disable
qos apply policy Deny-Multicast-Broadcast-ARP inbound
mac-address max-mac-count 0
interface Ten-GigabitEthernet2/9/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 19 to 21 29 to 34 36 to 38 44 to 47
49 to 53 56 to 59 61 to 62 66 to 70 80
port trunk permit vlan 85 to 88 99 110 to 112 168 192 218
stp disable
qos apply policy Deny-Multicast-Broadcast-ARP inbound
mac-address max-mac-count 0
3.2 PBR策略路由及ACG 引流配置舉例
3.2.1 對使用原計費系統的用戶以IP 地址分類在三層交換上建立ACL2001 列表
acl number 2001
description策略路由列表,以使用原計費系統的IP地址段
rule 0 permit source 192.168.33.96 0.0.0.31
rule 5 permit source 192.168.33.128 0.0.0.31
rule 10 permit source 192.168.33.160 0.0.0.15
rule 15 permit source 192.168.45.0 0.0.0.255
……………………
3.2.2 配置PBR 策略路由-凡是符合此列表的IP 地址將被轉發至防火墻相應端口
policy-based-route eyou permit node 1
if-match acl 2001
apply ip-address next-hop 192.168.168.168
3.2.3 在三層交換vlan 下發PBR 策略路由
interface Vlan-interface33
description WenXianJianSuo
ip address 192.168.33.254 255.255.255.0
ip policy-based-route eyou //下發PBR策略路由
3.2.4 三層交換以太網端口配置
interface GigabitEthernet2/4/0/4
port link-mode bridge
description 此端口連接原計費系統上行接口-->再到防火墻以太網口G2/6
port access vlan 168
qos apply policy down_stream inbound //下行流量重定向到ACG內聯口
3.2.5 防火墻端口配置
interface GigabitEthernet2/6
port link-mode route
description to此端口連接原計費系統下行接口_再到三層交換G2/4/0/4
ip address 192.168.168.168 255.255.255.0
4、結語
此解決方案有機地結合了三種應用技術,有效地解決了虛擬化交換設備中多插卡業務數據流向控制問題,對數據報文按要求轉發給出了一種解決方案。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
相關文章
