MQC

MQC

标签:MQC、QOS、VLAN二三层隔离、策略路由

基本概念

  • MQC:modular qos command-line interface(模块化QOS命令行)

    1. 模块化,最大的优点的修改和调用都很方便;
    2. MQC本身并不能“完成任务”,需要被调用才能生效,比如被接口调用
    3. 应用广泛,不仅仅可以用在QOS当中,还可以用在策略路由(PBR)、VLAN的二层和三层隔离
  • MQC“三件套”

    [HUAWEI] traffic ?
    classifier
    behavior
    policy
    
    • 流分类(traffic classifier)定义一组流量匹配规划,以对报文进行分类;
    • 流行为(traffic behavior)定义针对某类报文所做的动作,例如报文丢弃、流量监管、重标记、流量限速、流量统计等;
    • 流策略(traffic policy)将指定的流分类和流行为绑定,对流分类后的报文执行对应流行为中定义的动作。
  • MQC的配置流程:

    1. 配置流分类:按照一定规则对报文进行分类,其实说白了就是匹配流量,流分类的时候可以直接调用ACL;
    2. 配置流行为:匹配完流量之后到底想干嘛?是拒绝?还是重标记?还是限速?……,都可以流行为当中进行规定;
    3. 配置流模板:将流分类和流行为绑定到一块,等待被调用;
    4. 应用流策略:在某个VLAN或接口内部调用流模板;
  • 配置示例

    # **第一步:创建流分类C1**
    traffic classifier C1
    	if-match any
    
    # **第二步:创建流行为B1**
    traffic behavior B1
    	remark 8021p 2
    
    # **第三步:创建流策略P1关联流分类和流行为**
    	traffic policy P1
    		classifier C1 behavior B1
    
    # **第四步:在接口入方向上进行应用**
    interface g0/0/1
    	traffic-policy p1 inbound
    

实验

在VLAN中的应用(一)

  • 实验环境

    • 交换机空配
  • 实验目标

    • 目前三台PC都处于VLAN1下可以相互通信,我们希望192.168.0.1和192.168.0.3两台主机不能相互访问
  • 实验步骤

    acl number 3000
     rule 5 permit ip source 192.168.0.1 0 destination 192.168.0.3 0
    
    traffic classifier test_1
     if-match acl 3000
    
    traffic behavior test_2
     deny
    
    traffic policy test_3
     classifier test_1 behavior test_2
    
    interface GigabitEthernet0/0/1
     traffic-policy test_3 inbound
    
  • 实验效果:

    • 两台主机都不能相互访问了!
  • PC1—>PC3数据包分析:

    1. PC1的ARP广播请求到达G0/0/1会通过的,没有IP地址,不会被ACL匹配上
    2. PC1紧跟着的ICMP单播报文就会被G0/0/1拒绝
  • PC3—>PC1数据包分析:

    1. PC3到PC1的广播可以到达PC1
    2. PC1回复的ARP单播也会顺利通过,没有三层,不会被ACL匹配上
    3. PC3给PC1的ICMP单播可以通过,但是回复会被拒绝
  • 总结:

    • 通过这种方式进行主机隔离是简单粗暴的,没有状态检测功能,直接去数据包,跟直接调用ACL的效果是一样的!

在VLAN中的应用(二)

在调用的时候我们是可以直接在VLAN内进行调用了,这样就比ACL更灵活了,只要同一个VLAN就会生效

[SW]vlan 1
[SW-vlan1]traffic-policy test_3 inbound

在VLAN中的应用(三)

  • 实验目标:
    • 不希望VLAN1的主机访问VLAN100
[SW]vlan 100
[SW-vlan100]int vlan 100
[SW-Vlanif100]ip add 192.168.100.254 24
[SW-Vlanif100]int vlan 1
[SW-Vlanif1]ip add 192.168.0.254 24
[SW-Vlanif1]int g0/0/4
[SW-GigabitEthernet0/0/4]port link-type ac
[SW-GigabitEthernet0/0/4]port d v 100
acl number 3001
 rule 5 permit ip source 192.168.0.0 0.0.0.255

traffic classifier c1 
	if-match acl 3001

traffic behavior b1
 deny

traffic policy p1
 classifier c1 behavior b1

interface GigabitEthernet0/0/4
 traffic-policy p1 outbound
posted @ 2023-06-29 14:08  张贺贺呀  阅读(344)  评论(0编辑  收藏  举报