MQC
MQC
标签:MQC、QOS、VLAN二三层隔离、策略路由
基本概念
-
MQC:modular qos command-line interface(模块化QOS命令行)
- 模块化,最大的优点的修改和调用都很方便;
- MQC本身并不能“完成任务”,需要被调用才能生效,比如被接口调用
- 应用广泛,不仅仅可以用在QOS当中,还可以用在策略路由(PBR)、VLAN的二层和三层隔离
-
MQC“三件套”
[HUAWEI] traffic ? classifier behavior policy
- 流分类(traffic classifier)定义一组流量匹配规划,以对报文进行分类;
- 流行为(traffic behavior)定义针对某类报文所做的动作,例如报文丢弃、流量监管、重标记、流量限速、流量统计等;
- 流策略(traffic policy)将指定的流分类和流行为绑定,对流分类后的报文执行对应流行为中定义的动作。
-
MQC的配置流程:
- 配置流分类:按照一定规则对报文进行分类,其实说白了就是匹配流量,流分类的时候可以直接调用ACL;
- 配置流行为:匹配完流量之后到底想干嘛?是拒绝?还是重标记?还是限速?……,都可以流行为当中进行规定;
- 配置流模板:将流分类和流行为绑定到一块,等待被调用;
- 应用流策略:在某个VLAN或接口内部调用流模板;
-
配置示例
# **第一步:创建流分类C1** traffic classifier C1 if-match any # **第二步:创建流行为B1** traffic behavior B1 remark 8021p 2 # **第三步:创建流策略P1关联流分类和流行为** traffic policy P1 classifier C1 behavior B1 # **第四步:在接口入方向上进行应用** interface g0/0/1 traffic-policy p1 inbound
实验
在VLAN中的应用(一)
-
实验环境
- 交换机空配
-
实验目标
- 目前三台PC都处于VLAN1下可以相互通信,我们希望192.168.0.1和192.168.0.3两台主机不能相互访问
-
实验步骤
acl number 3000 rule 5 permit ip source 192.168.0.1 0 destination 192.168.0.3 0 traffic classifier test_1 if-match acl 3000 traffic behavior test_2 deny traffic policy test_3 classifier test_1 behavior test_2 interface GigabitEthernet0/0/1 traffic-policy test_3 inbound
-
实验效果:
- 两台主机都不能相互访问了!
-
PC1—>PC3数据包分析:
- PC1的ARP广播请求到达G0/0/1会通过的,没有IP地址,不会被ACL匹配上
- PC1紧跟着的ICMP单播报文就会被G0/0/1拒绝
-
PC3—>PC1数据包分析:
- PC3到PC1的广播可以到达PC1
- PC1回复的ARP单播也会顺利通过,没有三层,不会被ACL匹配上
- PC3给PC1的ICMP单播可以通过,但是回复会被拒绝
-
总结:
- 通过这种方式进行主机隔离是简单粗暴的,没有状态检测功能,直接去数据包,跟直接调用ACL的效果是一样的!
在VLAN中的应用(二)
在调用的时候我们是可以直接在VLAN内进行调用了,这样就比ACL更灵活了,只要同一个VLAN就会生效
[SW]vlan 1
[SW-vlan1]traffic-policy test_3 inbound
在VLAN中的应用(三)
- 实验目标:
- 不希望VLAN1的主机访问VLAN100
[SW]vlan 100
[SW-vlan100]int vlan 100
[SW-Vlanif100]ip add 192.168.100.254 24
[SW-Vlanif100]int vlan 1
[SW-Vlanif1]ip add 192.168.0.254 24
[SW-Vlanif1]int g0/0/4
[SW-GigabitEthernet0/0/4]port link-type ac
[SW-GigabitEthernet0/0/4]port d v 100
acl number 3001
rule 5 permit ip source 192.168.0.0 0.0.0.255
traffic classifier c1
if-match acl 3001
traffic behavior b1
deny
traffic policy p1
classifier c1 behavior b1
interface GigabitEthernet0/0/4
traffic-policy p1 outbound