2023年12月29日发(作者：i7组装电脑配置推荐)

CloudEngine 8800, 7800, 6800, 5800 系列交换机配置指南-QoS8 报文过滤配置8关于本章8.1 报文过滤简介通过MQC实现报文过滤。8.2 报文过滤应用场景介绍报文过滤的应用场景。8.3 报文过滤配置注意事项介绍报文过滤的配置注意事项。8.4 配置报文过滤介绍报文过滤详细的配置过程。8.5 报文过滤配置举例通过示例介绍报文过滤。 报文过滤配置报文过滤配置介绍了报文过滤的作用、配置方法和配置示例。8.1 报文过滤简介通过MQC实现报文过滤。网络中存在大量不信任报文，所谓的不信任报文是指对用户来说存在安全隐患或者不愿意接收的报文，部署报文过滤可以将这类报文直接丢弃，以提高用户在网络中的安全性。当用户认为某类报文不可信时，可以通过MQC将这类报文与其他报文区别出来并进行丢弃；同样的，当用户认为某类报文可信时，也可以通过MQC将这类报文与其他报文区别出来并允许通过。与黑名单相比，通过MQC实现报文过滤可以对报文进行更精细的划分，在网络部署时更加灵活。8.2 报文过滤应用场景介绍报文过滤的应用场景。文档版本 08 (2019-03-05)版权所有 © 华为技术有限公司167

CloudEngine 8800, 7800, 6800, 5800 系列交换机配置指南-QoS8 报文过滤配置部署报文过滤可以丢弃用户的不信任报文并允许信任的报文通过，以提高网络安全性并使网络规划更加灵活。如图8-1所示，为了保证教学质量与纪律，校方规定多媒体教室只能访问FTP服务器，但是老师办公室既可以访问FTP服务器也可以访问Web服务器。图8-1 报文过滤应用组网图流量方向FTP服务器老师办公室InternetSwitch ASwitch BWeb服务器多媒体教室校区服务器区出方向配置报文过滤

8.3 报文过滤配置注意事项介绍报文过滤的配置注意事项。涉及网元无需其他网元配合。License支持报文过滤是设备的基本特性，无需获得License许可即可应用此功能。文档版本 08 (2019-03-05)版权所有 © 华为技术有限公司168

CloudEngine 8800, 7800, 6800, 5800 系列交换机配置指南-QoS8 报文过滤配置版本支持表8-1 支持本特性的最低软件版本产品CE5810EICE5850EICE5850HICE5855EICE5880EICE6810EICE6810-48S4Q-LI/CE6810-48S-LICE6810-32T16S4Q-LI/CE6810-24S2Q-LICE6850EICE6850-48S6Q-HICE6850-48T6Q-HI/CE6850U-HI/CE6851HICE6855HICE6856HICE6857EICE6860EICE6865EICE6870-24S6CQ-EI/CE6870-48S6CQ-EICE6870-48T6CQ-EICE6875-48S4CQ-EICE6880EICE7850EICE7855EICE8860EICE8850-32CQ-EICE8850-64CQ-EICE8861EICE8868EI

文档版本 08 (2019-03-05)版权所有 © 华为技术有限公司169最低支持版本V100R002C00V100R001C00V100R003C00V100R005C10V200R005C10V100R003C00V100R003C10V100R005C10V100R001C00V100R005C00V100R005C10V200R001C00V200R002C50V200R005C10V200R002C50V200R005C00V200R001C00V200R002C50V200R003C00V200R002C50V100R003C00V200R001C00V100R006C00V200R002C50V200R005C00V200R005C10V200R005C10

CloudEngine 8800, 7800, 6800, 5800 系列交换机配置指南-QoS8 报文过滤配置特性依赖和限制l流行为中，permit动作与其他流动作一起配置时，将依次执行这些动作；deny动作与除流量统计、流镜像外的其他流动作互斥，即使配置其他流动作也不会生效。为匹配ACL规则的报文指定报文过滤动作时，如果此ACL中的rule规则配置为permit，则设备对此报文采取的动作由流行为中配置的deny或permit决定；如果此ACL中的rule规则配置为deny，则无论流行为中配置了deny或permit，此报文都被丢弃。l8.4 配置报文过滤介绍报文过滤详细的配置过程。背景信息配置报文过滤后，设备将对符合流分类规则的报文进行过滤，从而实现对网络流量的控制。操作步骤1.配置流分类a.b.执行命令system-view，进入系统视图。执行命令traffic classifier classifier-name [ type { and | or } ]，创建一个流分类并进入流分类视图，或进入已存在的流分类视图。and表示流分类中各规则之间关系为“逻辑与”，指定该逻辑关系后：n当流分类中有ACL规则时，报文必须匹配其中一条ACL规则以及所有非ACL规则才属于该类；当流分类中没有ACL规则时，则报文必须匹配所有非ACL规则才属于该类。nor表示流分类各规则之间是“逻辑或”，即报文只需匹配流分类中的一个或多个规则即属于该类。缺省情况下，流分类中各规则之间的关系为“逻辑或”。c.执行命令if-match，定义流分类中的匹配规则。流分类中可定义的规则有很多种，详细内容可参见《CloudEngine 8800, 7800,6800, 5800系列交换机 QoS业务配置指南-MQC配置》中的“配置流分类”部分。d.e.2.a.b.执行命令commit，提交配置。执行命令quit，退出流分类视图。执行命令traffic behavior behavior-name，创建一个流行为并进入流行为视图，或进入已存在的流行为视图。请根据实际需要进行如下配置：n配置流行为执行命令permit，对符合流分类的报文不做任何动作，按原来的策略转发。执行命令deny，禁止符合流分类规则的报文通过。版权所有 © 华为技术有限公司170n文档版本 08 (2019-03-05)

CloudEngine 8800, 7800, 6800, 5800 系列交换机配置指南-QoS说明8 报文过滤配置l流行为中，permit动作和其他流动作一起配置时，将依次执行这些动作；deny动作和其他流动作互斥，即使配置其他动作也不会生效（流量统计和流镜像除外）。l为匹配ACL规则的报文指定报文过滤动作时，如果此ACL中的rule规则配置为permit，则设备对此报文采取的动作由流行为中配置的deny或permit决定；如果此ACL中的rule规则配置为deny，则无论流行为中配置了deny或permit，此报文都被丢弃。3.执行命令commit，提交配置。执行命令quit，退出流行为视图。执行命令quit，退出系统视图。执行命令system-view，进入系统视图。执行命令traffic policy policy-name，创建一个流策略并进入流策略视图，或进入已存在的流策略视图。执行命令classifier classifier-name behavior behavior-name [ precedenceprecedence-value ]，在流策略中为指定的流分类配置所需流行为，即绑定流分类和流行为。执行命令commit，提交配置。执行命令quit，退出流策略视图。执行命令quit，退出系统视图。说明配置流策略d.e.f.4.应用流策略l对于除CE6870EI外的设备，各视图下应用流策略的注意事项，请参见2.2 MQC配置注意事项（除CE6870EI、CE6875EI外）。l对于CE6870EI，各视图下应用流策略的注意事项，请参见2.3 MQC配置注意事项（CE6870EI、CE6875EI）。l当多个VLAN、接口要应用相同的流策略，或者匹配不同源IP地址的多个流分类需要绑定相同的流策略时，推荐将这些VLAN、源IP地址、接口加入同一个QoS组后，在QoS组下应用流策略。–在接口上应用流策略.执行命令system-view，进入系统视图。执行命令interface interface-type interface-number，进入接口视图。iii.执行命令traffic-policy policy-name { inbound | outbound }，在接口上应用流策略。iv.–.执行命令commit，提交配置。执行命令system-view，进入系统视图。执行命令vlan vlan-id，进入VLAN视图。在VLAN上应用流策略iii.执行命令traffic-policy policy-name { inbound | outbound }，在VLAN上应用流策略。应用后，系统对属于该VLAN并匹配流分类中规则的入方向或出方向报文实施策略控制。iv.–文档版本 08 (2019-03-05)执行命令commit，提交配置。在全局应用流策略版权所有 © 华为技术有限公司171

CloudEngine 8800, 7800, 6800, 5800 系列交换机配置指南-QoS8 报文过滤配置.执行命令system-view，进入系统视图。执行命令traffic-policy policy-name global [ slot slot-id ] { inbound |outbound }，在全局上应用流策略。iii.执行命令commit，提交配置。–在VPN实例上应用流策略.执行命令system-view，进入系统视图。（可选）执行命令qos port-group group-id，创建并进入QoS端口组视图。说明CE6880EI不支持创建QoS端口组。iii.（可选）执行命令group-member { interface-type interface-number1 [ tointerface-type interface-number2 ] }，将接口添加到指定QoS端口组中。iv.v.（可选）执行命令quit，退出QoS端口组视图。执行命令ip vpn-instance vpn-instance-name，创建VPN实例，并进入VPN实例视图。vi.执行命令traffic-policy policy-name inbound [ exclude qos port-groupgroup-id ]，在VPN实例上应用流策略。vii.执行命令commit，提交配置。–在QoS组上应用流策略.执行命令system-view，进入系统视图。执行命令qos group group-name，进入QoS组视图。○iii.请根据需要选择配置：执行命令group-member interface { interface-type interface-number1[ to interface-type interface-number2 ] } &<1-8>，将接口添加到指定QoS组中。（对于CE6870EI、CE6880EI）执行命令group-member vlan { vlan-id1 [ to vlan-id2 ] } &<1-8>，将VLAN添加到指定QoS组中。（除CE6870EI、CE6880EI外）执行命令group-member ip source ip-address { mask | mask-length }，将源IP地址添加到指定QoS组中。○○iv.v.–.执行命令traffic-policy policy-name inbound，在QoS组上应用流策略。执行命令commit，提交配置。执行命令system-view，进入系统视图。执行命令bridge-domain bd-id，进入BD视图。在广播域BD上应用流策略iii.执行命令traffic-policy policy-name { inbound | outbound }，在BD上应用流策略。iv.执行命令commit，提交配置。检查配置结果lll执行命令display traffic classifier [ classifier-name ]，查看已配置的流分类信息。执行命令display traffic behavior [ behavior-name ]，查看已配置的流行为信息。执行命令display traffic policy [ policy-name [ classifier classifier-name ] ]，查看已配置的流策略信息。版权所有 © 华为技术有限公司172文档版本 08 (2019-03-05)

CloudEngine 8800, 7800, 6800, 5800 系列交换机配置指南-QoS8 报文过滤配置l执行命令display traffic-policy applied-record [ policy-name ] [ global [ slot slot-id ] |interface interface-type interface-number | vlan vlan-id | vpn-instance vpn-instance-name | qos group group-id | bridge-domain bd-id ] [ inbound | outbound ]，查看指定流策略的应用记录。执行命令display system tcam fail-record [ slot slot-id ]，查看TCAM下发失败的信息。执行命令display system tcam service brief [ slot slot-id ]，查看不同的业务占用的组索引和规则计数。执行命令display system tcam service { cpcar slot slot-id | service-name slot slot-id[ chip chip-id ] }，查看指定槽位指定芯片的业务下发的EntryId。（对于CE6870EI）执行命令display system tcam match-rules slot slot-id [ [ ingress |egress | group group-id ] | [ chip chip-id ] ]

*，查看规则命中的信息。（对于CE6880EI）执行命令display system tcam match-rules slot slot-id chip chip-id index index-id，查看规则命中的信息。（除CE6870EI、CE6880EI以外）执行命令display system tcam match-rules slotslot-id [ [ ingress | egress | group group-id ] | [ delay-time time-value ] ]

*，查看规则命中的信息。llllll8.5 报文过滤配置举例通过示例介绍报文过滤。本节仅列举单特性的配置示例。如果您想了解更多综合场景配置案例、特性典型配置案例、对接案例、替换案例及行业案例，请参考典型配置案例。8.5.1 配置报文过滤示例组网需求如图8-2所示，学校校区与服务器区不在同一个地点，因此需要通过Internet实现两者的互访。现在要求多媒体教室只能访问FTP，但是老师办公室既访问FTP也可以访问外网。文档版本 08 (2019-03-05)版权所有 © 华为技术有限公司173

CloudEngine 8800, 7800, 6800, 5800 系列交换机配置指南-QoS8 报文过滤配置图8-2 配置报文过滤组网图流量方向FTP服务器192.168.3.1/24老师办公室192.168.1.1/24InternetSwitch A10GE 1/0/1Switch B10GE 1/0/210GE 1/0/3多媒体教室192.168.2.1/24校区Web服务器192.168.4.1/24服务器区配置思路1.2.根据目的IP和源IP区分出Web服务器到多媒体教室的流量。对从Web服务器到多媒体教室的流量进行丢弃，以实现多媒体教室只能访问FTP服务器。操作步骤步骤1创建VLAN并配置各接口# 创建VLAN100和VLAN200。 system-view[~HUAWEI] sysname SwitchB[*HUAWEI] commit[~SwitchB] vlan batch 100 200[*SwitchB] commit# SwitchB上接口10GE1/0/2和10GE1/0/3类型默认为Access，配置10GE1/0/2加入VLAN100，配置10GE1/0/3加入VLAN200，配置接口10GE1/0/1的接口类型为Trunk，并将10GE1/0/1加入VLAN100和VLAN200。[~SwitchB] interface 10ge 1/0/1[~SwitchB-10GE1/0/1] port link-type trunk[*SwitchB-10GE1/0/1] port trunk allow-pass vlan 100 200[*SwitchB-10GE1/0/1] quit[*SwitchB] interface 10ge 1/0/2[*SwitchB-10GE1/0/2] port default vlan 100[*SwitchB-10GE1/0/2] quit[*SwitchB] interface 10ge 1/0/3[*SwitchB-10GE1/0/3] port default vlan 200[*SwitchB-10GE1/0/3] quit[*SwitchB] commit文档版本 08 (2019-03-05)版权所有 © 华为技术有限公司174

CloudEngine 8800, 7800, 6800, 5800 系列交换机配置指南-QoS8 报文过滤配置步骤2配置ACL规则# 在SwitchB上创建ACL3001，匹配目的IP为192.168.2.1且源IP为192.168.4.1的流，即从Web服务器到多媒体教室的流量。[~SwitchB] acl 3001[*SwitchB-acl4-advance-3001] rule permit ip destination 192.168.2.1 24 source 192.168.4.1 24[*SwitchB-acl4-advance-3001] quit[*SwitchB] commit步骤3配置流分类# 在SwitchB上创建流分类c1，匹配规则为ACL3001。[~SwitchB] traffic classifier c1[*SwitchB-classifier-c1] if-match acl 3001[*SwitchB-classifier-c1] quit[*SwitchB] commit步骤4配置流行为# 在SwitchB上创建流行为b1，并配置禁止动作。[~SwitchB] traffic behavior b1[*SwitchB-behavior-b1] deny[*SwitchB-behavior-b1] quit[*SwitchB] commit步骤5配置流策略并应用到接口10GE1/0/1的出方向上# 在SwitchB上创建流策略p1，将流分类和对应的流行为进行绑定。[~SwitchB] traffic policy p1[*SwitchB-trafficpolicy-p1] classifier c1 behavior b1[*SwitchB-trafficpolicy-p1] quit[*SwitchB] commit# 将流策略p1应用到接口10GE1/0/1的出方向上。[~SwitchB] interface 10ge 1/0/1[~SwitchB-10GE1/0/1] traffic-policy p1 outbound[*SwitchB-10GE1/0/1] quit[*SwitchB] commit[~SwitchB] quit步骤6验证配置结果# 查看ACL规则的配置信息。 display acl 3001Advanced ACL 3001, 1

rule

ACL's step is

5

rule 5 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 (0 times

matched)

# 查看流分类的配置信息。 display traffic classifier c1 Traffic Classifier Information: Classifier: c1 Type: OR Rule(s): if-match acl 3001# 查看流策略的配置信息。文档版本 08 (2019-03-05)版权所有 © 华为技术有限公司175

CloudEngine 8800, 7800, 6800, 5800 系列交换机配置指南-QoS display traffic policy p1 Traffic Policy Information: Policy: p1 Classifier: c1 Type: OR Behavior: b1 Deny8 报文过滤配置----结束配置文件SwitchB的配置文件#sysname SwitchB#vlan batch 100 200#acl number 3001 rule 5 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255#

traffic classifier c1 type or if-match acl 3001#traffic behavior b1 deny#traffic policy p1 classifier c1 behavior b1 precedence 5

#interface 10GE1/0/1 port link-type trunk port trunk allow-pass vlan 100 200 traffic-policy p1 outbound#interface 10GE1/0/2 port default vlan 100#interface 10GE1/0/3 port default vlan 200#return8.5.2 配置基于服务器端口号进行报文过滤示例组网需求如图8-3所示，企业办公区和服务器区通过SwitchA相连，其中FTP服务器和Email服务器属于同一网段，Web服务器属于另一不同网段。现在要求企业的研发部门和行政部门只能访问FTP服务器，不能访问Email服务器和Web服务器。文档版本 08 (2019-03-05)版权所有 © 华为技术有限公司176

CloudEngine 8800, 7800, 6800, 5800 系列交换机配置指南-QoS8 报文过滤配置图8-3 配置报文过滤组网图流量方向研发部门FTP服务器192.168.1.1/2410GE1/01SwitchA行政部门SwitchBEmail服务器192.168.1.2/24企业办公区服务器区Web服务器192.168.2.1/24

配置思路1.2.根据端口号和网段分别区分出来自FTP服务器、Web服务器和Email服务器的流量。对来自Web服务器和Email服务器的流量进行丢弃，以实现研发部门和行政部门只能访问FTP服务器。操作步骤步骤1在SwitchA、SwitchB以及企业办公区交换机上创建VLAN并配置各接口，实现网络互通，具体配置步骤此处省略。步骤2配置ACL规则# 在SwitchB上创建ACL3001，匹配Web服务器的网段识别来自Web服务器的流量，匹配Email服务器的网段和端口号识别来自Email服务器的流量。 system-view[~HUAWEI] sysname SwitchB[*HUAWEI] commit[~SwitchB] acl 3001[*SwitchB-acl4-advance-3001] rule permit ip source 192.168.2.1 24[*SwitchB-acl4-advance-3001] rule permit tcp source-port eq pop2 source 192.168.1.0 24

[*SwitchB-acl4-advance-3001] quit[*SwitchB] commit步骤3配置流分类# 在SwitchB上创建流分类c1，匹配规则为ACL3001。[~SwitchB] traffic classifier c1[*SwitchB-classifier-c1] if-match acl 3001文档版本 08 (2019-03-05)版权所有 © 华为技术有限公司177

CloudEngine 8800, 7800, 6800, 5800 系列交换机配置指南-QoS[*SwitchB-classifier-c1] quit[*SwitchB] commit8 报文过滤配置步骤4配置流行为# 在SwitchB上创建流行为b1，并配置禁止动作。[~SwitchB] traffic behavior b1[*SwitchB-behavior-b1] deny[*SwitchB-behavior-b1] quit[*SwitchB] commit步骤5配置流策略并应用到接口10GE1/0/1的出方向上# 在SwitchB上创建流策略p1，将流分类和对应的流行为进行绑定。[~SwitchB] traffic policy p1[*SwitchB-trafficpolicy-p1] classifier c1 behavior b1[*SwitchB-trafficpolicy-p1] quit[*SwitchB] commit# 将流策略p1应用到接口10GE1/0/1的出方向上。[~SwitchB] interface 10ge 1/0/1[~SwitchB-10GE1/0/1] traffic-policy p1 outbound[*SwitchB-10GE1/0/1] quit[*SwitchB] commit[~SwitchB] quit步骤6验证配置结果# 查看ACL规则的配置信息。 display acl 3001Advanced ACL 3001, 2 rules

ACL's step is 5

rule 5 permit ip source 192.168.2.0 0.0.0.255 (0 times matched)

rule 10 permit tcp source 192.168.1.0 0.0.0.255 source-port eq pop2 (0 times matched)

# 查看流分类的配置信息。 display traffic classifier c1 Traffic Classifier Information: Classifier: c1 Type: OR Rule(s): if-match acl 3001# 查看流策略的配置信息。 display traffic policy p1 Traffic Policy Information: Policy: p1 Classifier: c1 Type: OR Behavior: b1 Deny----结束配置文件SwitchB的配置文件#sysname SwitchB#acl number 3001文档版本 08 (2019-03-05)版权所有 © 华为技术有限公司178

CloudEngine 8800, 7800, 6800, 5800 系列交换机配置指南-QoS rule 5 permit ip source 192.168.2.0 0.0.0.255

rule 10 permit tcp source 192.168.1.0 0.0.0.255 source-port eq pop2

#

traffic classifier c1 type or if-match acl 3001#traffic behavior b1 deny#traffic policy p1 classifier c1 behavior b1 precedence 5

#interface 10GE1/0/1 traffic-policy p1 outbound#return8 报文过滤配置文档版本 08 (2019-03-05)版权所有 © 华为技术有限公司179