实战技巧：如何恰当应用ACL访问控制列表

欢迎进入网络技术社区论坛，与200万技术人员互动交流 >>进入 利用访问控制列表实现QoS 针对一些重要业务和特殊应用，使用时要求保证带宽，不用时又能将带宽让出来给其他应用，可用如下设置访问控制列表和数据包染色技术来实现。 1.设置如下的访问控制列表 ac

欢迎进入网络技术社区论坛，与200万技术人员互动交流 >>进入

利用访问控制列表实现QoS

针对一些重要业务和特殊应用，使用时要求保证带宽，不用时又能将带宽让出来给其他应用，可用如下设置访问控制列表和数据包染色技术来实现。

1.设置如下的访问控制列表

<ccid_code>access-list 102 permit ip 网段1IP 子网掩码 host 服务器1IP
access-list 103 permit ip 网段2IP 子网掩码 host 服务器2IP
access-list 104 permit ip 网段3IP 子网掩码 host 服务器3IP</ccid_code>

2.数据包染色标记

<ccid_code>class-map match-all Critical-1
    match ip dscp 34 
class-map match-all Critical-2
    match ip dscp 26
class-map match-all Critical-3
    match ip dscp 35</ccid_code>

3.数据包染色分类

<ccid_code>class-map match-any Critical-1
    match access-group 102 /*匹配访问控制列表102 */
class-map match-any Critical-2
    match access-group 103 /*匹配访问控制列表103 */
class-map match-any Critical-3
    match access-group 104 /*匹配访问控制列表104 */</ccid_code>

4.策略定义

<ccid_code>policy-map AA
class Critical-1
    bandwidth percent 10 /*定义保障带宽为基本带宽的10% */
    random-detect dscp-based /*定义路由器带宽拥塞时的数据包丢弃策略 */
random-detect dscp 34  24   40   10  
 /* 定义发生拥塞时DSCP=34数据包的最小丢包率/最大丢包率/丢弃概率分别是：24/40/10 */
  class Critical-2
  bandwidth percent 5
  random-detect dscp-based
  random-detect dscp 26   24    40    10
  classs Critical-3 
  bandwidth percent  2 
  random-detect dscp-based 
  random-detect dscp 35   24    40    10</ccid_code>

5.在路由器相应端口上进行策略应用

<ccid_code>interface Serial0/0
service-policy output AA</ccid_code>

如上设置后，即实现了在端口Serial0/0上符合访问控制列表102的业务保障带宽是基本带宽的10%，符合访问控制列表103的业务保障带宽为基本带宽的5%，符合访问控制列表104的业务保障带宽为基本带宽的2%。

  [1] [2]