QoS Policy介绍：

QoS policy包含了三个要素：

• 类：用户定义的一系列规则的集合（抓流）
• 行为：定义了针对报文所做的Qos动作（动作）
• 策略：将各个类与相应的行为绑定起来

可以实现分类、标记、整形、监管、拥塞管理、拥塞避免、统计、镜像、访问控制、深度应用识别等QoS功能

类定义：

类分为下列两种：

• 系统预定义类：不能被用户修改或删除
• 用户定义类：由用户创建并维护

用户定义类的分类标准

• 根据ACL分类
• 匹配所有数据报文
• 根据协议类型分类
• 根据报文二层信息分类
• 根据报文三层信息分类
• 根据各类优先级、标志位分类
• 根据报文接收接口分类
• 根据MPLS标签分类

类规则间的逻辑关系：

用户可以指定规则之间的逻辑关系：（默认为且）

• or（逻辑或）关系：报文只要匹配了类中的任何一个规则，就认为其属于这个类
• and（逻辑与）关系：报文只有匹配了所有的规则，才认为其属于这个类
• 通过类嵌套，可以实现复杂逻辑规则
• 定义类，满足条件匹配ACL 2001&匹配acl2002 | 匹配acl 2003，可以这样定义：

  [sysname]traffic classifier classB operator and
  [sysname-classifier-classB]if-match acl 2001
  [sysname-classifier-classB]if-match acl 2002
  [sysname-classifier-classB]quit
  [sysname]traffic classifier classA operator or
  [sysname-classifier-classA]if-match acl 2003
  [sysname-classifier-classA]if-match classifier classB
  满足条件匹配ACL 2001 | 匹配acl2002
  [sysname]traffic classifier classB operator or
  [sysname-classifier-classB]if-match acl 2001
  [sysname-classifier-classB]if-match acl 2002
  [RT2]display traffic classifier user-defined cw             //查看用户定义类
  [RT2]display traffic classifier system-defined                //查看系统定义类

行为的定义：

行为包括下列两类：

• 系统定位行为：不能被用户修改或删除
• 用户定义行为：需要用户定义与维护

行为主要可包括下列QoS动作

• 流量监管
• 流量整形
• 流量过滤
• 流量重定向
• 流量镜像
• 重标记
• 流量统计
• 拥塞管理
• 拥塞避免

行为的执行：开始->filter->remark->car->gts->quene-结束

主要的动作配置命令：

• car：配置流量监管
• filter：配置流量过滤
• gts：配置流量整形
• redirect：配置流量重定向
• remark：配置流量的二次标记
• queue：配置队列
• traffic-policy：配置子策略
• accounting：配置统计功能
• nest：配置创建外层VLAN Tag的动作
• primap:配置优先级映射动作

硬件Qos动作的支持情况及执行顺序与产品相关，如果配置了filter deny，那么出流量统计以外其他行为都不会生效。与流量统计配合使用的情况和产品相关

行为配置：

配置用户行为：

traffic behavior name

主要的动作配置命令：

car：配置流量监管
filter：配置流量过滤
gts：配置流量整形
redirect：配置流量重定向
remark：配置流量的二次标记
queue：配置队列
traffic-policy：配置子策略
accounting：配置统计功能
nest：配置创建外层VLAN Tag的动作
primap:配置优先级映射动作

QoS Policy的配置命令：

[RT1]qos policy  policy name //定义qos policy
[RT1-qospolicy-test]classifier cw behavior cw //配置一个条目，为类指定对应的行为
[RT1-GigabitEthernet0/0]qos  apply policy test   inbound | outbound //Qos policy应用到接口
[H3C]qos vlan-policy  1  vlan 2   inbound | outbound //Qos policy应用到vlan：（在交换机上时）
[H3C]qos apply policy  1  global   inbound | outbound //Qos policy应用到全局

基于VLAN的QoS policy：

• QOS policy应于VLAN后，会对VLAN内所有端口上匹配规则的流量生效。
• 在互相包含的范围上应用了不同的QoS policy，应用范围最小的QoS policy生效。例如，在某一端口和该端口所属vlan上都应用了QoS policy，端口上应用的Qos policy生效。
• 当VLAN和全局都应用了QOS policy时，VLAN上的Qos policy生效，全局qos policy在该vlan上不会生效。

案例一、S3610_S5510系列交换机IPv4 ACL的配置

一、组网需求：

在端口Ethernet1/0/2配置IPv4报文过滤，允许源地址为1.0.0.0/8的报文通过，但是禁止源地址为1.1.1.1的报文通过。

二、组网图：无

三、配置步骤：

1. 配置IPv4 ACL

   # 进入系统视图
   <Switch> system-view
   # 配置源地址为1.1.1.1的访问规则
   [Switch] acl number 3001
   [Switch-acl6-adv-3001] rule deny ip source 1.1.1.1 0
   # 配置其他源地址的访问规则
   [Switch] acl number 3002
   [Switch-acl6-adv-3002] rule permit ip source 1.0.0.0 0.255.255.255

2. 配置端口Ethernet1/0/1入方向的IPv4报文过滤

   # 配置拒绝接收源地址为1.1.1.1报文的类和流行为
   [Switch] traffic classifier 1
   [Switch-classifier-1] if-match acl 3001
   [Switch-classifier-1] quit
   [Switch] traffic behavior 1
   [Switch-behavior-1] filter deny
   [Switch-behavior-1] quit
   # 配置允许其他源地址的类和流行为
   [Switch] traffic classifier 2
   [Switch-classifier-2] if-match acl 3002
   [Switch-classifier-2] quit
   [Switch] traffic behavior 2
   [Switch-behavior-2] filter permit
   [Switch-behavior-2] quit
   # 配置策略
   [Switch] qos policy test
   [Switch-qospolicy-test] classifier 1 behavior 1
   [Switch-qospolicy-test] classifier 2 behavior 2
   [Switch-qospolicy-test] quit
   # 应用策略
   [Switch] interface Ethernet 1/0/1
   [Switch-Ethernet1/0/2] qos apply policy test inbound

四、配置关键点：

1. ACL最终的匹配动作是permit还是deny，不由ACL中rule的动作决定，而是由此ACL所对应的behavior的动作决定的。

2. 对于既有permit又有deny要求的访问控制，必须规定两个behavior，一个为permit，一个为deny。

案例二、端口策略和IP访问策略配置

acl number 3001
 rule 0 permit ip source 172.52.0.0 0.0.3.255 destination 192.168.0.0 0.0.1.255
#
acl number 3002
 rule 10 deny tcp destination-port eq 135
 rule 15 deny tcp destination-port eq 137
 rule 20 deny tcp destination-port eq 138
 rule 25 deny tcp destination-port eq 139
 rule 30 deny tcp destination-port eq 445
 rule 35 deny udp destination-port eq 135
 rule 40 deny udp destination-port eq netbios-ns
 rule 45 deny udp destination-port eq netbios-dgm
 rule 50 deny udp destination-port eq netbios-ssn
 rule 55 deny udp destination-port eq 445
 rule 60 deny udp destination-port eq 3389
 rule 65 deny tcp destination-port eq 3389
#
acl number 3003
 rule 0 deny ip destination 192.168.0.0 0.0.1.255

#
traffic classifier anti_wana operator and
 if-match acl 3002
#
traffic classifier ippermit operator and
 if-match acl 3001
#
traffic classifier ipdeny operator and
 if-match acl 3003
#
traffic behavior anti_wana
 filter deny
#
traffic behavior ippermit
 filter permit
#
traffic behavior ipdeny
 filter deny
#
qos policy anti_wana
 classifier anti_wana behavior anti_wana
 classifier ippermit behavior ippermit
 classifier ipdeny behavior ipdeny

#
interface Ten-GigabitEthernet1/0/1
 port access vlan 1000
 qos apply policy anti_wana inbound
 qos apply policy anti_wana outbound