59系列交換機(jī)ACL&QoS功能介紹及相關(guān)配置主講：王克川日期：Sunday,April23,2023主要內(nèi)容一、ACL(AccessControlList)的基本原理二、59系列交換機(jī)中ACL功能及相關(guān)配置三、QoS(QuanlityofService)的基本原理四、59系列交換機(jī)中QoS的功能及相關(guān)配置訪問(wèn)控制列表（AccessControlList）：一個(gè)有序的語(yǔ)句(rule)集，它通過(guò)匹配報(bào)文中的信息與訪問(wèn)列表的參數(shù)，來(lái)允許或拒絕報(bào)文通過(guò)某個(gè)接口。ACL是應(yīng)用在路由器或交換機(jī)接口的指令列表。這些指令告訴路由器或三層交換機(jī)哪些分組可以接收以及哪些分組需要拒絕。接收和拒絕基于一定的條件，例如源地址、目標(biāo)地址及TCP/IP端口號(hào)等。什么是ACL限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能。例如，ACL能夠基于分組的協(xié)議，指定一定分級(jí)的級(jí)別可被路由器優(yōu)先處理。提供流量控制。提供網(wǎng)絡(luò)訪問(wèn)的基本安全級(jí)別。例如，ACL允許一個(gè)主機(jī)訪問(wèn)你的網(wǎng)絡(luò)的一部分，而阻止其它主機(jī)訪問(wèn)相同區(qū)域。在路由器/交換機(jī)接口上配置ACL決定哪種流量被轉(zhuǎn)發(fā)或被阻塞。

ACL的作用創(chuàng)建一個(gè)ACL時(shí)順序是至關(guān)重要的當(dāng)流量進(jìn)入應(yīng)用了ACL的接口時(shí)，交換機(jī)內(nèi)部的操作系統(tǒng)軟件會(huì)將分組跟ACL中定義的規(guī)則相比較。比較判斷是按照網(wǎng)絡(luò)管理員在ACL中輸入的語(yǔ)句順序執(zhí)行的。當(dāng)比較分組時(shí)，一次一句按順序比較，直到與某一條語(yǔ)句匹配。一旦與某一條語(yǔ)句匹配，就執(zhí)行匹配的語(yǔ)句行中所指定的動(dòng)作，不再檢查其他條件語(yǔ)句。如果所有的條件語(yǔ)句都沒(méi)有被匹配，則最后將強(qiáng)加一條拒絕全部流量的暗含語(yǔ)句。即使這條拒絕全部流量的語(yǔ)句在ACL中最后一行是看不到的，缺省的情況下在最后也是拒絕所有的流量。

ACL創(chuàng)建順序

當(dāng)一個(gè)分組進(jìn)入某一個(gè)接口時(shí)，會(huì)首先檢查該分組是否可路由或可橋接，然后會(huì)檢查是否在入接口上應(yīng)用了ACL。如果有ACL，就將該分組與列表中的條件語(yǔ)句相比較。如果分組被允許通過(guò)，就繼續(xù)檢查路由選擇表?xiàng)l目以決定轉(zhuǎn)發(fā)到的目的接口。

ACL工作過(guò)程主要內(nèi)容一、ACL(AccessControlList)的基本原理二、59系列交換機(jī)中ACL功能及相關(guān)配置三、QoS(QuanlityofService)的基本原理四、59系列交換機(jī)中QoS的功能及相關(guān)配置59系列交換機(jī)中對(duì)ACL的控制只在數(shù)據(jù)流進(jìn)入交換機(jī)的時(shí)候作了控制，即只有in單方向的，在out方向無(wú)法作ACL控制。當(dāng)ACL表中無(wú)任何規(guī)則時(shí)，應(yīng)用到端口上表示permitany當(dāng)ACL中存在一條或一條以上規(guī)則，則表中默認(rèn)最后一條規(guī)則為denyany一條ACLrule配置完成后，必須退出ACL配置模式該條目方可生效ACL配置注意事項(xiàng)

訪問(wèn)控制列表分類編號(hào)范圍訪問(wèn)控制列表種類說(shuō)明1－991000－1499IP標(biāo)準(zhǔn)訪問(wèn)控制列表(standardACL)基于IP的標(biāo)準(zhǔn)訪問(wèn)控制列表，只對(duì)源IP地址進(jìn)行過(guò)濾100－1991500－1999IP擴(kuò)展訪問(wèn)控制列表(extendACL)基于IP的擴(kuò)展訪問(wèn)控制列表，IP包頭的五元組和其它部分協(xié)議控制信息進(jìn)行過(guò)濾200－299二層訪問(wèn)控制列表(linkACL)基于以太網(wǎng)二層數(shù)據(jù)包頭和部分二層信息進(jìn)行過(guò)濾300－349混合訪問(wèn)控制列表(hybridACL)基于IP包頭的五元組和部分以太網(wǎng)二層信息進(jìn)行過(guò)濾2000-2499/2500-2999IPV6標(biāo)準(zhǔn)/擴(kuò)展訪問(wèn)控制列表只適用于IPV6的包，基于源IPV6地址或源和目的IPV6地址進(jìn)行過(guò)濾ACL類型數(shù)字型Number名字型Name別名型AliasACL流過(guò)濾流過(guò)濾就是將與ACL規(guī)則匹配的數(shù)據(jù)流進(jìn)行過(guò)濾操作：丟棄操作（deny），該操作將匹配流分類規(guī)則的數(shù)據(jù)流丟棄，而允許其他所有流量通過(guò)。管理員使用此方式丟棄那些無(wú)用的、不可靠、值得懷疑的業(yè)務(wù)流，從而增強(qiáng)網(wǎng)絡(luò)的安全性。允許操作（permit），該操作對(duì)匹配流分類規(guī)則的數(shù)流不作丟棄處理，允許通過(guò)Time-range配置配置ACL作用的時(shí)間域，當(dāng)ACL沒(méi)有作用在該時(shí)間段，此ACL沒(méi)有生效。ACL性能每個(gè)ACL支持的最大規(guī)則：100整機(jī)支持的ACLtable數(shù)目：52:2849/59:3349名字型ACL的最大ACLtable數(shù)目：1000整機(jī)支持的最大ACLrule數(shù)目：可配3500應(yīng)用2000條StandardACL的最大ACLrule數(shù)目：3500應(yīng)用2000條linkACL的最大ACLrule數(shù)目：3500應(yīng)用2000條extendACL的最大ACLrule數(shù)目：3500應(yīng)用2000條hybridACL的最大ACLrule數(shù)目：3500應(yīng)用128條IPV6StandardACL的最大ACLrule數(shù)目：2000應(yīng)用128條IPV6extendACL的最大ACLrule數(shù)目：2000應(yīng)用128條ACL配置步驟

ACL的配置包括以下三個(gè)步驟，請(qǐng)依次進(jìn)行配置：

配置時(shí)間段：配置time-range，不是必須 定義訪問(wèn)控制列表： 將訪問(wèn)控制列表應(yīng)用到物理端口ACL配置實(shí)例

標(biāo)準(zhǔn)ACl測(cè)試用例：只對(duì)源IP地址或者某個(gè)具體的IP網(wǎng)段進(jìn)行控制，其中可以加入時(shí)間的限制。ZXR10(config-std-acl)#rule1deny192.168.1.10.0.0.0time-rangeworkZXR10(config-std-acl)#rule2permitanyZXR10(config-std-acl)#exiZXR10(config)#intgei_1/1ZXR10(config-if)#ipaccess-group1in在標(biāo)準(zhǔn)acl配置模式配置，禁止源IP地址是192.168.1.1的數(shù)據(jù)包從gei_1/1端口進(jìn)入。其中的time-rangework表示在“work“定義的時(shí)間段內(nèi)生效。Work的定義如下：Time-range:work08:30:00to18:00:00working-day表示在工作日（星期一到星期五）的08:30:00到18:00:00生效。擴(kuò)展ACL：可以根據(jù)源IP地址、目的IP地址、IP協(xié)議號(hào)、UDP/TCP傳輸層的目的端口號(hào)和源端口號(hào)（稱之為IP五元組），ICMP，TOS字段、PRECEDENCE字段、FRAGMENT字段、TCPestablished字段等來(lái)進(jìn)行報(bào)文控制。ZXR10(config-ext-acl)#rule1denytcp192.168.1.00.0.0.255eqtelnetany在ext-acl配置模式配置，禁止源IP地址為192.168.1.0/24、源端口號(hào)為23（telnet）的TCP數(shù)據(jù)包通過(guò)。ACL配置實(shí)例

二層ACl：可以針對(duì)二層的數(shù)據(jù)幀里面的字段如源MAC地址，目的MAC地址，802.1puserpriority字段優(yōu)先級(jí)，vlan-id進(jìn)行過(guò)濾。ZXR10(config)#acllinknu200ZXR10(config-link-acl)#rul1peranyin40940000.0000.00010000.0000.0000egressanyZXR10(config-link-acl)#exiZXR10(config)#intgei_1/1ZXR10(config-if)#ipac200in端口允許源MAC地址為0000.0000.0001，VLANID為4094的數(shù)據(jù)包通過(guò)。ACL配置實(shí)例

混合ACl：通過(guò)二層MAC地址、VLAN信息和三層的IP五元組信息進(jìn)行數(shù)據(jù)流控制，它可以看作擴(kuò)展ACL和二層ACL的綜合ZXR10(config)#aclhybridnametest1ZXR10(config-hybd-acl)#rule1denyipanyanyarpZXR10(config-hybd-acl)#rule2denyipany192.168.1.00.0.0.255ipegress0000.0000.00010000.0000.0000ZXR10(config-hybd-acl)#rul3peripanyanyanyZXR10(config-hybd-acl)#exiZXR10(config)#intgei_1/1ZXR10(config-if)#ipaccess-grouptest1in

配置混合名字型ACLtest1，禁止arp包從gei_1/1進(jìn)入，禁止目的MAC地址為0000.0000.0001，目的IP地址為192.168.1.0/24的IP數(shù)據(jù)包通過(guò)。

ACL配置實(shí)例

IPV6ACl：基于源IPV6地址或源和目的IPV6地址進(jìn)行過(guò)濾ZXR10(config)#ipv6aclextendednumber2500ZXR10(config-ext-v6acl)#rul1denyipanyanyZXR10(config-ext-v6acl)#exitZXR10(config)#intgei_1/1ZXR10(config-if)#ipaccess-group2500in配置擴(kuò)展型IPV6ACL，禁止IPV6的包進(jìn)入端口gei_1/1。

ACL配置實(shí)例

ACL的維護(hù)與診斷

ZXR10(config)#showaclZXR10(config)#showrunintZXR10(config)#showaccess-listboundZXR10(config)#showaccess-listbriefZXR10(config)#showaccess-listconfigZXR10(config)#showaccess-listusedZXR10(config)#showaccess-listaliasZXR10(config)#showipv6acl

測(cè)試注意事項(xiàng)注意測(cè)試的遍歷性注意ACL的性能測(cè)試在測(cè)試ACL時(shí)結(jié)合各種流量測(cè)試

主要內(nèi)容一、ACL(AccessControlList)的基本原理二、59系列交換機(jī)中ACL功能及相關(guān)配置三、QoS(QuanlityofService)的基本原理四、59系列交換機(jī)中QoS的功能及相關(guān)配置QOS是一組服務(wù)要求，其目標(biāo)是為網(wǎng)絡(luò)通信建立一個(gè)有保證的傳輸系統(tǒng)。本文所指的QOS是IPQOS，QOS主要有IETF建議的綜合服務(wù)(IntServ-IntegratedServicesArchitecture)體系和區(qū)分服務(wù)(DiffServ-DifferentiatedServicesArchitecture)兩種體系結(jié)構(gòu)。59上只支持區(qū)分服務(wù)的QOS模型。

QOS基本概念主要內(nèi)容一、ACL(AccessControlList)的基本原理二、59系列交換機(jī)中ACL功能及相關(guān)配置三、QoS(QuanlityofService)的基本原理四、59系列交換機(jī)中QoS的功能及相關(guān)配置59交換機(jī)QoS的主要功能流分類：對(duì)通過(guò)交換機(jī)的報(bào)文進(jìn)行分類，通過(guò)使用訪問(wèn)控制列表（ACL）實(shí)現(xiàn)。

優(yōu)先級(jí)標(biāo)記：對(duì)數(shù)據(jù)包的QoS參數(shù)進(jìn)行改寫。包括二層的802.1puserpriority，三層TOS/DSCP，交換機(jī)內(nèi)部使用的TrafficClass和丟棄基本參數(shù)。流量監(jiān)管：流量監(jiān)管就是對(duì)某一業(yè)務(wù)流進(jìn)行帶寬限制，流重定向：將指定數(shù)據(jù)流定重定向到用戶指定的出接口或者下一跳，實(shí)現(xiàn)流量監(jiān)控或策略路由功能。隊(duì)列調(diào)度：對(duì)出口隊(duì)列（0－7）進(jìn)行調(diào)度，對(duì)高優(yōu)先級(jí)的數(shù)據(jù)流提供帶寬、延時(shí)、抖動(dòng)等參數(shù)的保證。59支持嚴(yán)格優(yōu)先級(jí)調(diào)度（SP）和加權(quán)輪循（WRR）兩種調(diào)度方式。59交換機(jī)QoS的主要功能擁塞避免：實(shí)現(xiàn)出口上隊(duì)列擁塞時(shí)的流流量控制，對(duì)不同丟棄級(jí)別的數(shù)據(jù)包進(jìn)行區(qū)別對(duì)待。59只支持尾丟棄一種方式，當(dāng)隊(duì)列長(zhǎng)度達(dá)到某一最大值時(shí)，所有新到來(lái)的報(bào)文都被丟棄。流量整形：流量整形是對(duì)輸出報(bào)文的速率進(jìn)行整形或限速，使報(bào)文以均勻的速率發(fā)送出去。59只支持出端口整形一種方式。

流量統(tǒng)計(jì)：對(duì)匹配ACL規(guī)則的數(shù)據(jù)流進(jìn)行流量統(tǒng)計(jì)流鏡像：即將指定數(shù)據(jù)流復(fù)制到監(jiān)控端口或者是CPU，用來(lái)進(jìn)行網(wǎng)絡(luò)監(jiān)控和故障排除。59QOS基本動(dòng)作59的QOS分為基于端口和基于流的動(dòng)作，基于流的動(dòng)作由ACL規(guī)則定義，其基本動(dòng)作如下：

IP優(yōu)先級(jí)以太網(wǎng)交換機(jī)可為特定報(bào)文提供優(yōu)先級(jí)標(biāo)記的服務(wù)，優(yōu)先級(jí)的種類包括Precedence，TOS、DSCP、802.1pprioriy等，這些優(yōu)先級(jí)分別適用于不同的QoS模型，在不同的模型中被定義。Precedence、TOS和DSCP優(yōu)先級(jí)是定義在三層IP頭中的TOS字段；802.1p用戶優(yōu)先級(jí)定義在二層802.1Q標(biāo)簽頭中的TCI字段中。IP優(yōu)先級(jí)1、Precedence，TOS和DSCPIP優(yōu)先級(jí)

IPheader有一個(gè)8-bit的優(yōu)先級(jí)區(qū)域，它通常被分為precedence部分和TOS部分，它的具體定義如下：

0567DSCPCUIPv4的TOS字節(jié)或者IPv6中的流字節(jié)DSCP：區(qū)分服務(wù)標(biāo)記CU：保留給ECNIP優(yōu)先級(jí)由于對(duì)區(qū)分服務(wù)類型的多樣化的要求，在之后的RFC文檔中對(duì)這個(gè)區(qū)域進(jìn)行了重新的分配，命名為DSCP：也就是IP包頭的區(qū)分服務(wù)標(biāo)記域IP優(yōu)先級(jí)2、802.1pprioriy

在vlantag的TCI區(qū)域有3位的優(yōu)先級(jí)區(qū)域，它指明幀的優(yōu)先級(jí)。一共有8種優(yōu)先級(jí)，主要用于當(dāng)交換機(jī)阻塞時(shí)，優(yōu)先發(fā)送優(yōu)先級(jí)高的數(shù)據(jù)包。優(yōu)先級(jí)映射

數(shù)據(jù)包內(nèi)的優(yōu)先級(jí)必須通過(guò)映射才能表現(xiàn)出他的作用來(lái)，而任何優(yōu)先級(jí)的映射都必須通過(guò)相應(yīng)的映射表來(lái)實(shí)現(xiàn)，在交換機(jī)中有這幾個(gè)映射表：1、802.1p優(yōu)先級(jí)到cos的映射表：這個(gè)映射表主要把包中的tag中的每個(gè)優(yōu)先級(jí)映射到一個(gè)具體的出口隊(duì)列，在各個(gè)交換機(jī)上的默認(rèn)設(shè)置是不同的，但一般都是一一映射的，即priority0-〉cos0….priority7->cos7。

優(yōu)先級(jí)映射2、802.1p優(yōu)先級(jí)到丟棄優(yōu)先級(jí)的映射表：這個(gè)映射表主要把包中的tag中的每個(gè)優(yōu)先級(jí)映射到具體的丟棄優(yōu)先級(jí)（DropPrecedence），這個(gè)丟棄優(yōu)先級(jí)將在擁塞避免時(shí)有用。3、DSCP映射表：DSCP映射表一般可以把包中的DSCP值映射到新的DSCP值，新的c出口隊(duì)列還有新的丟棄優(yōu)先級(jí)，但和其他映射表不同的是，但他被配置以后，不會(huì)馬上起效，必須在端口trustdscp才可以進(jìn)行dscp的映射。流量監(jiān)管和整形

為了使有限的網(wǎng)絡(luò)資源可以更好地為用戶服務(wù)，QoS在輸入端口上可以對(duì)特定用戶的業(yè)務(wù)流進(jìn)行監(jiān)管，使之適應(yīng)分配給它那部分網(wǎng)絡(luò)資源。流量監(jiān)管的處理流程如下圖：流量監(jiān)管和整形

METER用來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)流的測(cè)量，根據(jù)測(cè)量的結(jié)果，將數(shù)據(jù)包分幾種顏色，它可以工作在色盲（color-blind）和色敏感(color-aware)兩種模式下。在色盲模式下，他只根據(jù)這個(gè)測(cè)量的結(jié)果著色；而在色敏感模式下，它會(huì)根據(jù)這次測(cè)量的結(jié)果和包以前的顏色進(jìn)行重新著色。MARKER根據(jù)METER的結(jié)果對(duì)數(shù)據(jù)包進(jìn)行相應(yīng)的QoS動(dòng)作。單速率三色標(biāo)記算法（SrTCM）：測(cè)量信息流，并根據(jù)三種流量參數(shù)（提交信息速率，CommittedInformationRate,CIR；提交組量大小CommittedBurstSize，CBS；超量組量大小ExcessBurstSize，EBS）對(duì)包進(jìn)行標(biāo)記，這三個(gè)參數(shù)我們分別稱為綠，黃和紅標(biāo)記。如果包沒(méi)有超過(guò)CBS就是綠的，如果超過(guò)CBS但未超過(guò)EBS就是黃的，如果超過(guò)EBS就是紅的。

雙速率三色標(biāo)記算法（TrTCM）：測(cè)量信息流，并根據(jù)兩種速率：峰值信息速率（PeakInformationRate，PIR）和提交信息速率（CommittedInformationRate,CIR）和他們各自相關(guān)的組量大小（CBS和PBS）來(lái)標(biāo)記數(shù)據(jù)包為綠，黃和紅。如果包超過(guò)PIR標(biāo)記為紅色，否則，超過(guò)CIR標(biāo)記為黃色，沒(méi)有超出CIR標(biāo)記為綠色。流量監(jiān)管和整形標(biāo)記（MARKER）

經(jīng)過(guò)METER后的任何數(shù)據(jù)包會(huì)有一個(gè)顏色：綠、黃或紅,METER可以選擇將紅色的數(shù)據(jù)包丟棄或者轉(zhuǎn)發(fā)。對(duì)應(yīng)沒(méi)有丟棄的數(shù)據(jù)包，MARKER可以對(duì)其QOS參數(shù)進(jìn)行重新標(biāo)記，一般可以對(duì)數(shù)據(jù)包802.1p優(yōu)先級(jí)字段、DSCP優(yōu)先級(jí)字段和交換機(jī)內(nèi)部使用的丟棄級(jí)別、流類別（TrafficClass，用來(lái)決定出口隊(duì)列）進(jìn)行標(biāo)記，對(duì)不同顏色的數(shù)據(jù)包可以標(biāo)記不同的數(shù)值。流量監(jiān)管和整形擁塞避免

常用的擁塞避免的方法有RED(隨機(jī)早期檢測(cè))，WRED（加權(quán)隨機(jī)早期檢測(cè)），顯式擁塞通知（ECN），tail-drop(尾丟棄)等。59使用的交換芯片只支持tail-drop(尾丟棄)的丟棄方案進(jìn)行擁塞避免。擁塞避免

Tail-drop（尾丟棄）：當(dāng)隊(duì)列長(zhǎng)度超過(guò)某個(gè)閾值時(shí)，就開(kāi)始丟棄對(duì)應(yīng)的報(bào)文，直到隊(duì)列長(zhǎng)度又回到閾值以內(nèi)為止，這是一種比較簡(jiǎn)單的擁塞避免方法。

隊(duì)列調(diào)度

59的隊(duì)列調(diào)度機(jī)制支持嚴(yán)格優(yōu)先級(jí)（SP）和加權(quán)輪循（WRR）兩種方式。隊(duì)列調(diào)度1．嚴(yán)格優(yōu)先級(jí)(StrictPriority，SP)

SP隊(duì)列調(diào)度算法，是針對(duì)關(guān)鍵業(yè)務(wù)型應(yīng)用設(shè)計(jì)的。SP嚴(yán)格按照優(yōu)先級(jí)從高到低的次序優(yōu)先發(fā)送較高優(yōu)先級(jí)隊(duì)列中的分組，當(dāng)較高優(yōu)先級(jí)隊(duì)列為空時(shí)，再發(fā)送較低優(yōu)先級(jí)隊(duì)列中的分組。2．加權(quán)輪循(WeightedRoundRobin，WRR)WRR隊(duì)列調(diào)度算法在隊(duì)列之間進(jìn)行輪流調(diào)度，保證每個(gè)隊(duì)列都得到一定的服務(wù)時(shí)間。它的比例是以報(bào)文的數(shù)目來(lái)計(jì)算的。隊(duì)列調(diào)度流鏡像&重定向

流鏡像將匹配指定規(guī)則的數(shù)據(jù)包復(fù)制到目的監(jiān)控端口或CPU，一般再進(jìn)行網(wǎng)絡(luò)檢測(cè)和故障排除使用。重定向?qū)⑵ヅ渲付ㄒ?guī)則的數(shù)據(jù)包轉(zhuǎn)發(fā)到某一個(gè)指定的端口或者下一條（策略路由），而不按照原來(lái)的流程轉(zhuǎn)發(fā)。流量統(tǒng)計(jì)

實(shí)現(xiàn)基于流的流量統(tǒng)計(jì)，對(duì)匹配某一原則的數(shù)據(jù)包個(gè)數(shù)或字節(jié)數(shù)進(jìn)行統(tǒng)計(jì)，提供用戶對(duì)“感興趣”的報(bào)文做統(tǒng)計(jì)、分析的工具。單速率流量監(jiān)管測(cè)試用例：ZXR10(config)#traffic-limitin200rule-id1cir10000cbs10000ebs10000modeaware說(shuō)明：ACL200上規(guī)則1的流量進(jìn)行流限速，限速為10M。使用的算法為單速率3色標(biāo)記。相關(guān)參數(shù)注釋：cir：承諾平均速率cbs：承諾突發(fā)尺寸ebs：最大突發(fā)尺寸aware：包進(jìn)來(lái)有顏色，根據(jù)以前的和計(jì)算后應(yīng)打的得到最終顏色。ZXR10(config)#traffic-limitin200rule-id1cir10000cbs10000ebs10000modeblind說(shuō)明：ACL200上規(guī)則1的流量進(jìn)行流限速，限速為10M。使用的算法為單速率3色標(biāo)記。相關(guān)參數(shù)注釋：blind：進(jìn)來(lái)有顏色，但是只根據(jù)計(jì)算得到的打顏色。

雙速率流量監(jiān)管測(cè)試用例：ZXR10(config)#traffic-limitin200rule-id1cir10000cbs10000pir10000pbs10000modeaware說(shuō)明：ACL200上規(guī)則1的流量進(jìn)行流限速，限速為10M。同時(shí)進(jìn)行remark操作，使用的算法為雙速率3色標(biāo)記。相關(guān)參數(shù)注釋：pir：峰值速率pbs：峰值突發(fā)尺寸流量監(jiān)管對(duì)著色的包進(jìn)行處理：ZXR10(config)#traffic-limitin200rule-id1cir10000cbs10000pir10000pbs10000modeaware？drop-yellowDropyellowpacket丟棄著色為黃色的包forward-redForwardredpacket轉(zhuǎn)發(fā)著色為紅色的包remark-red-dpRemarkreddropprecedence標(biāo)記紅色包的丟棄優(yōu)先級(jí)remark-red-dscpRemarkredDSCPvalue標(biāo)記紅色包的DSCP值remark-yellow-dpRemarkyellowdropprecedence標(biāo)記黃色包的丟棄優(yōu)先級(jí)remark-yellow-dscpRemarkyellowDSCPvalue標(biāo)記黃色包的DSCP值<cr>說(shuō)明：配置流限速，并對(duì)著色的包進(jìn)行各項(xiàng)操作。優(yōu)先級(jí)標(biāo)記方式1：ZXR10(config)#priority-markin200ru1?cosCosvaluedrop-precedenceDropprecedencedscpDscpvalue(notforipv6)local-precedenceLocalprecedenceprecedencePrecedencevalue(notforipv6)說(shuō)明：將ACL200上規(guī)則1的包分別標(biāo)記cos值、drop-precedence、dscp、local-precedence和precedence值。方式2：ZXR10(config-if)#priority?<0-7>Thepriorityvalue(cosvalue)說(shuō)明：在入端口上對(duì)untag包配置COS值。優(yōu)先級(jí)映射ZXR10(config)#qos?conform-dscpConfigureqosconformleveldscpparameters(notforipv6)cos-drop-mapConfigurecosdropmapparameterscos-local-mapConfigurecoslocalmapparametersZXR10(config)#qosconform-dscp06102說(shuō)明：配置優(yōu)先級(jí)映射表，如收到包dscp值為0，修改dscp為61，cos值為0，丟棄優(yōu)先級(jí)為2（high）ZXR10(config)#qoscos-drop-map00000000說(shuō)明：配置cos丟棄優(yōu)先級(jí)映射表，設(shè)置cos值為0－7的丟棄優(yōu)先級(jí)全為0。ZXR10(config)#qoscos-local-map01234567說(shuō)明：配置cos的本地優(yōu)先級(jí)映射表，設(shè)置cos值為0－7的本地優(yōu)先級(jí)（出口隊(duì)列）依次為0－7。ZXR10(config-if)#trust-dscpenable說(shuō)明：將所配置的映射表應(yīng)用到端口上流量整形ZXR10(config-if)#traffic-shaperate-limit10000bucket-size10000out說(shuō)明：將物理端口的出方向流量進(jìn)行整形，設(shè)置出口帶寬為10M。

流重定向ZXR10(config)#redirectin200ru1?