低端交换机通过traffic-policy引用acl因配置错误导致过滤报文失败

acl规则的配置命令-回复ACL（Access Control List）是一种网络安全应用程序，用于控制数据包的流动。

通过使用ACL，可以定义哪些网络流量被允许通过网络设备，并决定禁止的流量。

在本篇文章中，我们将详细介绍ACL规则的配置命令，并提供一步一步的指导。

一、了解ACL规则ACL规则用于限制或允许特定类型的网络流量通过网络设备。

每个规则由一个或多个条件组成，如果数据包满足这些条件，则会采取指定的操作。

这些条件通常包括源IP地址，目标IP地址，传输层协议等。

在进行ACL规则的配置之前，我们需要明确以下几点：1. 应用范围：我们需要确定ACL规则应用的范围，例如用于路由器的入口或出口，或者用于防火墙等设备。

2. 数据包类型：我们需要确定要过滤的数据包类型，例如IP数据包，ICMP 数据包等。

3. 预期操作：我们需要明确对数据包的操作，是允许通过还是禁止。

二、配置ACL规则以下是一些常用的配置ACL规则的命令：1. 进入特定接口的配置模式：# interface interface_name这个命令用于进入特定接口的配置模式，以便配置该接口的ACL规则。

2. 创建一个扩展ACL规则：# access-list acl_number {permit deny} protocol sourcesource_wildcard destination destination_wildcard [option]这个命令用于创建一个扩展ACL规则，acl_number是规则的编号，后面是规则的定义，包括协议类型、源IP地址、目标IP地址等。

permit表示允许通过，deny表示禁止通过。

3. 将ACL规则应用到接口：# ip access-group acl_number {in out}这个命令用于将ACL规则应用到指定接口，in表示入口方向，out表示出口方向。

4. 检查ACL规则：# show access-lists这个命令用于检查已配置的ACL规则，可以查看ACL规则的编号、具体条件和操作。

acl规则的配置命令-回复ACL（Access Control List）是一种网络安全性配置，用于控制网络设备的流量过滤和访问控制。

它可以根据不同的条件来限制特定的网络流量，并决定是否允许或拒绝该流量通过网络设备。

在本文中，我们将详细介绍如何配置ACL规则的命令。

配置ACL规则的命令可以在不同厂商的网络设备上有所不同。

本文将以思科（Cisco）网络设备为例，介绍如何配置ACL规则的命令。

首先，登录到思科网络设备的命令行界面。

这可以通过一个终端仿真软件（如TeraTerm、PuTTY等）连接到设备的控制台端口，或通过SSH远程连接到设备的IP地址来完成。

一旦成功登录到设备的命令行界面，可以使用以下命令来配置ACL规则：1. 创建一个命名的ACL：config tip access-list <ACL名称>这将进入全局配置模式，然后创建一个以指定名称命名的ACL。

该名称将用于区分不同的ACL规则。

2. 添加允许或拒绝的规则：permit deny <源地址> <源地址掩码> <目的地址> <目的地址掩码> <协议> <源端口> <目的端口>这个命令用于向ACL规则中添加一个允许或拒绝的规则。

可以根据需要指定源地址，目的地址，协议，源端口和目的端口。

例如，要允许从192.168.1.0/24网段访问到10.0.0.0/24网段的全部协议和端口，使用以下命令：permit ip 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255使用`deny`关键字可以创建一个拒绝规则，例如：deny tcp any host 10.0.0.1 eq 80这将拒绝所有源地址的TCP流量访问目标地址为10.0.0.1的80端口。

3. 应用ACL规则到接口：interface <接口名称>ip access-group <ACL名称> {in out}这个命令用于将ACL规则应用到指定接口。

1什么时候应该测量网络性能基线？在组织的正常工作时间在主网络设备重新启动后立即测量正常工作时间以外，以减少可能造成的中断当检测并拦截到对网络的拒绝服务攻击时答案 说明 最高分值correctness of response Option 12网络性能基线的目的是记录网络在正常运行期间的特征。

它可用作确定网络异常的标准。

在特定情况下执 行测量（例如主网络设备重新启动或运行数小时后）所得出的特征不能准确描述基线。

DoS 攻击可能引发异常网络性能，但是一旦拦截攻击，网络性能应返回到正常水平，因此无需立即测量性能来建立基线。

2在网络文档建立过程中，网络工程师在多台网络设备上执行了 show cdp neighbor 命令。

执行此命令的作用是什么？获取有关直连思科设备的信息检查由相邻路由器通告的网络检验连接到网络设备的网络地址检查连接到网络设备的 PC 的连接答案 说明 最高分值correctness of response Option 12show cdp neighbor 命令用于获取直接连接的思科设备的详细信息。

信息不包括连接到相邻思科设备的网络，也不包括连接的 PC 。

show ip route 命令用于查看从相邻路由器通告的网络。

3用户报告，本周的一段时间内，在进行身份验证和访问网络资源时出现较长延迟。

网络工程师应该检查哪类信息来确定这种情况是否属于正常的网络行为？系统日志记录和消息网络性能基线调试输出和数据包捕获网络配置文件答案 说明 最高分值correctness of response Option 22网络工程师应首先确定报告的网络性能确实异常。

这通过参考已记录的网络性能基线来完成。

一旦检验出网络性能异常，就可以应用特定的故障排除过程。

4在收集故障症状的哪个步骤中，网络工程师将确定问题出现在网络的核心层、 分布层还是接入层？记录故障症状。

确定故障症状。

收集信息。

确定所有权。

缩小范围。

华为交换机ACL配置1.说明：1）华为交换机的ACL规则没变，但下发需要通过流策略traffic policy下发；2）流策略⼜包括相应的流分类traffic classifier，流⾏为traffic behavior；3）流分类traffic classifier⽤于绑定相应的ACL规则，流⾏为traffic behavior决定匹配的流分类是否permit或deny；4）ACL规则⾥只需配置匹配的流，使⽤permit标识，⽽deny基本没啥⽤；5）如果有多个ACL number，在流策略traffic policy⾥需要按顺序绑定（根据业务是先允午后禁⽌或先禁⽌后允许）； 6）在接⼝的inbound ⽅向下发。

2.配置举例，限制访客（10.16.16.0/20）访问正式⽹络（10.16.0.0/16）1）根据需求创建流策略即ACLacl number 3200rule 21 permit ip source 10.16.16.00.0.15.255 destination 10.16.16.00.0.15.255rule 31 permit ip source 10.16.16.00.0.15.255 destination 10.16.248.40acl number 3201rule 21 permit ip source 10.16.16.00.0.15.255 destination 10.16.0.00.0.255.2552）创建流分类即traffic classifiertraffic classifier CDG-Guest1 operator and precedence 30if-match acl 3200traffic classifier CDG-Guest2 operator and precedence 40if-match acl 32013）创建流⾏为即traffic behaviortraffic behavior CDG-Guest1permittraffic behavior CDG-Guest2deny4）创建流策略traffic policytraffic policy CDG-Guest match-order configclassifier CDG-Guest1 behavior CDG-Guest1classifier CDG-Guest2 behavior CDG-Guest2。

版权所有:杭州华三通信技术有限公司中低端交换机（V7）MQC重定向不生效问题排查一、开始MQC 重定向不生效问题定位故障的思路是：先查看ACL 规则是否匹配了流量，ACL 资源是否超规格，之后查看MQC 重定向下一跳是否可达，最后查看是否配置packet-filter/策略路由等功能，与MQC 重定向冲突。

1、查看ACL 规则是否匹配流量查看ACL规则的配置，确认ACL规则匹配了流量。

命令： display acl例如：通过命令确认ACL规则是否匹配了需要做MQC重定向的流量。

2、修改/增加ACL规则若通过displayacl命令，查看规则中所写的rule规格错误，则需要重新下发rule命令，修改rule规则，确保rule规则匹配到流量。

如果ACL中rule规则没有匹配所需做MQC重定向的流量，则需新增rule规则匹配该流量。

命令：rule例如：ACL规则中将需要做MQC重定向的源IP为20.0.0.0/24、目的IP为200.0.0.0/24的流量错误写为源IP为20.0.0.0/24、目的IP为100.0.0.0/24，同时漏写源IP为30.0.0.0/24的流量，则需下发命令更正和增加ACL规则。

3、检查ACL资源是否超规格查看单板ACL资源利用情况，判断ACL资源是否已被耗尽，导致下发的ACL规则实际没有生效。

命令： display qos-acl resource版权所有:杭州华三通信技术有限公司ACL资源是按芯片划分的，通过display qos-aclresource命令可以看到所有槽位芯片ACL资源的利用情况，如上所示，0槽位单板的G E0/0/1至GE0/0/48属于同一个芯片，2048的ACL资源由这48个接口共用。

从示例中看到0槽位单板GE0/0/1至GE0/0/48所在芯片2048个ACL资源已利用了93%，已接近AC L资源耗尽，会导致涉及ACL下发的功能正常应用，包括MQC重定向的使用。

华为路由交换由浅入深系列（九）-华为路由器交换ACL的应用与经验总结1ACL概述随着网络规模的扩大和流量的增加，对网络安全的控制和对带宽的分配成为网络管理的重要内容。

通过对报文进行过滤，可以有效防止非法用户对网络的访问，同时也可以控制流量，节约网络资源。

ACL（Access Control List，访问控制列表）即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。

更多资料访问尽在网络之路空间;【把学习当做生活，每天都在进步】/1914756383//KUCqX2ACL通过一系列的匹配条件对报文进行分类，这些条件可以是报文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口号等。

2案例背景[交换机]网络环境拓扑如下（客户端接入交换机约有几十个，所有设备均采用静态IP）服务器区所有服务器网关均在核心交换机上，共有9个Vlan，9个网段分别如下；Vlan10-Vlan11网段分别为10.0.10.0/24-10.0.11.0/24Vlan14-Vlan19网段分别为10.0.14.0/24-10.0.19.0/24交换机管理Vlan为Vlan1:10.0.13.0/24，核心交换机的管理ip为10.0.13.254，其余接入交换机网关均在核心交换机上；客户端共有8个Vlan，分别为Vlan20-Vlan100，网段分别为10.0.20.0/24-10.0.100.0/24，网关均在核心交换机上；3需求一：对服务器区服务器做安全防护，只允许客户端访问服务器某些端口由于网络环境拓扑为客户端——客户端接入交换机——核心交换机——防火墙——服务器接入交换机——服务器，也即客户端访问服务器需要通过防火墙，所以对服务器的防护应该放到防火墙上来做，因为若用交换机来做过滤，配置麻烦且失去了防火墙应有的作用（此处不做防火墙配置介绍）；4需求二：交换机只允许固定管理员通过ssh登陆此处做防护有较为方便的俩种方法一：在所有交换机配置VTY时，调用ACL只允许源为网络管理员的IP访问，但此方法虽配置不复杂，但是配置工作量较大需要在所有交换机上配置，而且不灵活例如在网络管理员人员或者IP变迁时，需要重新修改所有交换机ACL，所以并不是首选方案；二：因为管理交换机管理Vlan与所有客户端Vlan不在同一Vlan，也即客户端访问接入交换机必须通过核心交换机，所以可以在核心交换机上做ACL来控制客户端访对接入交换机的访问，核心交换机的访问通过VTY来调用ACL；配置部分在下面；5需求三：客户端VLAN之间不能互相访问，客户端只允许访问服务器VLAN一：在核心交换机上的所有链接客户端接入交换机端口做ACL，只放行访问服务器的流量，拒绝其余流量，但由于客户端接入交换机约有几十台，所以配置工作量大几十个端口都需要配置，所以也不是首选方案；二：在核心交换机上的客户端Vlan做Acl，只放行访问服务器的流量，拒绝其余流量，由于客户端Vlan共有8个所以相对于在物理接口上做ACL而言，工作量较小，所以选择此方案；6配置部分6.1ACL配置部分acl number2000rule5permit source10.0.20.110rule10permit source10.0.21.150rule15deny//定义允许访问核心交换机的俩位网络管理员IP地址；acl number3000rule51permit ip destination10.0.10.00.0.0.255rule53permit ip destination10.0.12.00.0.0.255rule55permit ip destination10.0.14.00.0.0.255rule56permit ip destination10.0.15.00.0.0.255rule57permit ip destination10.0.16.00.0.0.255rule58permit ip destination10.0.17.00.0.0.255rule59permit ip destination10.0.18.00.0.0.255rule60permit ip destination10.0.19.00.0.0.255//定义所有客户端只允许访问服务器Vlanrule71permit tcp source10.0.20.110destination10.0.13.00.0.0.255destination-port eq22rule72permit tcp source10.0.21.150destination10.0.13.00.0.0.255destination-port eq22//定义允许访问核心交换机的tcp22端口（即SSH）的俩位网络管理员IP；acl number3100rule5permit ip//拒绝除允许网段外的其余所有流量//由于此处的acl3000及3100是给下面的QOS做调用的，所以此处的permit或deny不起作用，随意设置即可；6.2Qos调用部分traffic classifier3000operator or precedence5if-match acl3000//定义名为classifier3000的流分类，并调用ACL3000traffic classifier3100operator or precedence10if-match acl3100//定义名为classifier3100的流分类，并调用ACL3100//定义流分类traffic behavior3000permit//定义名为behavior3000的流行为，并赋予允许值traffic behavior3100deny//定义名为behavior3100的流行为，并赋予拒绝值//定义流行为//上面ACL的允许或拒绝不起作用，通过此处来定义拒绝或允许traffic policy634aclclassifier3000behavior3000classifier3100behavior3100//定义名为policy634acl流策略，并将classifier3000流分类与behavior3000流行为关联，以及classifier 3100流分类与behavior3100流行为关联（注意：允许在前，拒绝在后）；vlan20description kjfzb jimitraffic-policy634acl inbound//依次登录客户端Vlan应用流策略至此完成了所有客户端Vlan之间不能互访，以及除网络管理员之外不能访问接入交换机管理网段的访问控制；user-interface vty04acl2000inbound//在vty界面中调用Acl2000，即只允许俩网络管理员登录；authentication-mode aaauser privilege level3protocol inbound ssh//至此完成了只允许网络管理员登录核心交换机的访问控制；关于华为ACL日常维护中的一点点经验和大家分享下在已经做好的ACL控制策略中,如192.168.1.0禁止访问192.168.2.03.04.05.0网段acl number3001rule5deny ip source192.168.1.00.0.0.255destination192.168.2.00.0.0.255rule10deny ip source192.168.1.00.0.0.255destination192.168.3.00.0.0.255rule15deny ip source192.168.1.00.0.0.255destination192.168.4.00.0.0.255rule20deny ip source192.168.1.00.0.0.255destination192.168.5.00.0.0.255rule25deny ip source192.168.1.00.0.0.255destination192.168.6.00.0.0.128但是在工作需求中要重新调整,使得192.168.1.0中的某个IP如192.168.1.10需要访问已被禁止的网段中的某个IP如192.168.6.215,那么要将1.10与6.215互通在调整过程中需要什么呢.很显然重建建ACL规则是不可行的,因为将规则应用到端口上时,只能同时应用一条规则.那么就只能从原有的3001规则上下手了.下面是操作步骤:1.首先在端口上将inbound应用停用,如果3001已经在使用中,那么rule是不可更改的2.清空3001中的所有规则,做好备份.将permit条目放在前端,再恢复原有的规则,原因是acl匹配有一个自上而下的顺序匹配,所以必须首先permit后deny若先匹配到如rule25已经是deny,那么后面无论怎么做permit,结果还是拒绝,那么调整后的顺序应当是rule5permit ip source192.168.1.100destination192.168.6.2150rule10deny ip source192.168.1.00.0.0.255destination192.168.2.00.0.0.255rule15deny ip source192.168.1.00.0.0.255destination192.168.3.00.0.0.255rule20deny ip source192.168.1.00.0.0.255destination192.168.4.00.0.0.255rule25deny ip source192.168.1.00.0.0.255destination192.168.5.00.0.0.255rule30deny ip source192.168.1.00.0.0.255destination192.168.6.00.0.0.1283.重新应用至接口.在应用过程中注意一点traffic behavior上permit与deny的区别.使用permit表示按照acl3001的规则来进行数据放行,3001中允许那就允许,禁止那就禁止但是若使用deny,则无论3001规则中的permit或者deny,一律全都丢弃不进行转发.关于路由器的调用，对比交换来说简单很多。

目录1 流量整形与端口限速典型配置指导.....................................................................................................1-11.1 流量整形与端口限速典型配置指导....................................................................................................1-11.1.1 组网需求.................................................................................................................................1-11.1.2 配置思路.................................................................................................................................1-11.1.3 适用产品、版本......................................................................................................................1-21.1.4 配置过程和解释......................................................................................................................1-31.1.5 完整配置.................................................................................................................................1-51.1.6 配置注意事项..........................................................................................................................1-61 流量整形与端口限速典型配置指导1.1 流量整形与端口限速典型配置指导流量整形是一种主动调整流量输出速率的措施，最典型的应用就是基于下游网络节点的流量监管指标来控制本地流量的输出。

华为交换机Vlan间访问控制配置案例华为交换机ACL/QOS调用ACL配置案例1 ACL概述随着网络规模的扩大和流量的增加，对网络安全的控制和对带宽的分配成为网络管理的重要内容。

通过对报文进行过滤，可以有效防止非法用户对网络的访问，同时也可以控制流量，节约网络资源。

ACL（Access Control List，访问控制列表）即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。

ACL 通过一系列的匹配条件对报文进行分类，这些条件可以是报文的源MAC 地址、目的MAC 地址、源IP地址、目的IP地址、端口号等。

2 案例背景网络环境拓扑如下（客户端接入交换机约有几十个，所有设备均采用静态IP）服务器区所有服务器网关均在核心交换机上，共有9个Vlan，9个网段分别如下；Vlan10-Vlan11网段分别为10.0.10.0/24-10.0.11.0/24Vlan14-Vlan19网段分别为10.0.14.0/24-10.0.19.0/24交换机管理Vlan为Vlan1: 10.0.13.0/24，核心交换机的管理ip为10.0.13.254，其余接入交换机网关均在核心交换机上；客户端共有8个Vlan，分别为Vlan20-Vlan100，网段分别为10.0.20.0/24-10.0.100.0/24，网关均在核心交换机上；3 需求一：对服务器区服务器做安全防护，只允许客户端访问服务器某些端口由于网络环境拓扑为客户端——客户端接入交换机——核心交换机——防火墙——服务器接入交换机——服务器，也即客户端访问服务器需要通过防火墙，所以对服务器的防护应该放到防火墙上来做，因为若用交换机来做过滤，配置麻烦且失去了防火墙应有的作用（此处不做防火墙配置介绍）；4 需求二：交换机只允许固定管理员通过ssh登陆此处做防护有较为方便的俩种方法一：在所有交换机配置VTY时，调用ACL只允许源为网络管理员的IP访问，但此方法虽配置不复杂，但是配置工作量较大需要在所有交换机上配置，而且不灵活例如在网络管理员人员或者IP变迁时，需要重新修改所有交换机ACL，所以并不是首选方案；二：因为管理交换机管理Vlan与所有客户端Vlan不在同一Vlan，也即客户端访问接入交换机必须通过核心交换机，所以可以在核心交换机上做ACL来控制客户端访对接入交换机的访问，核心交换机的访问通过VTY 来调用ACL；配置部分在下面；5 需求三：客户端VLAN之间不能互相访问，客户端只允许访问服务器VLAN一：在核心交换机上的所有链接客户端接入交换机端口做ACL，只放行访问服务器的流量，拒绝其余流量，但由于客户端接入交换机约有几十台，所以配置工作量大几十个端口都需要配置，所以也不是首选方案；二：在核心交换机上的客户端Vlan做Acl，只放行访问服务器的流量，拒绝其余流量，由于客户端Vlan共有8个所以相对于在物理接口上做ACL而言，工作量较小，所以选择此方案；6 配置部分6.1 ACL配置部分acl number 2000rule 5 permit source 10.0.20.11 0rule 10 permit source 10.0.21.15 0rule 15 deny//定义允许访问核心交换机的俩位网络管理员IP地址；acl number 3000rule 51 permit ip destination 10.0.10.0 0.0.0.255rule 53 permit ip destination 10.0.12.0 0.0.0.255rule 55 permit ip destination 10.0.14.0 0.0.0.255rule 56 permit ip destination 10.0.15.0 0.0.0.255rule 57 permit ip destination 10.0.16.0 0.0.0.255rule 58 permit ip destination 10.0.17.0 0.0.0.255rule 59 permit ip destination 10.0.18.0 0.0.0.255rule 60 permit ip destination 10.0.19.0 0.0.0.255//定义所有客户端只允许访问服务器Vlanrule 71 permit tcp source 10.0.20.11 0 destination 10.0.13.0 0.0.0.255 destination-port eq 22rule 72 permit tcp source 10.0.21.15 0 destination 10.0.13.0 0.0.0.255 destination-port eq 22//定义允许访问核心交换机的tcp22端口（即SSH）的俩位网络管理员IP；acl number 3100rule 5 permit ip//拒绝除允许网段外的其余所有流量//由于此处的acl3000及3100是给下面的QOS做调用的，所以此处的permit或deny不起作用，随意设置即可；6.2 Qos调用部分traffic classifier 3000 operator or precedence 5if-match acl 3000// 定义名为classifier 3000的流分类，并调用ACL3000traffic classifier 3100 operator or precedence 10if-match acl 3100// 定义名为classifier 3100的流分类，并调用ACL3100//定义流分类traffic behavior 3000permit//定义名为behavior 3000的流行为，并赋予允许值traffic behavior 3100deny//定义名为behavior 3100的流行为，并赋予拒绝值//定义流行为//上面ACL的允许或拒绝不起作用，通过此处来定义拒绝或允许traffic policy 634aclclassifier 3000 behavior 3000classifier 3100 behavior 3100//定义名为policy 634acl流策略，并将classifier 3000流分类与behavior 3000流行为关联，以及classifier 3100流分类与behavior 3100流行为关联（注意：允许在前，拒绝在后）；vlan 20description kjfzb jimitraffic-policy 634acl inbound//依次登录客户端Vlan应用流策略至此完成了所有客户端Vlan之间不能互访，以及除网络管理员之外不能访问接入交换机管理网段的访问控制；user-interface vty 0 4acl 2000 inbound//在vty界面中调用Acl2000，即只允许俩网络管理员登录；authentication-mode aaauser privilege level 3protocol inbound ssh//至此完成了只允许网络管理员登录核心交换机的访问控制；。

acl traffic classifier命令详解在华为（Huawei）设备上，ACL（Access Control List）是一种用于过滤网络流量的功能。

ACL Traffic Classifier 是用于定义Traffic Classifier 规则的命令。

Traffic Classifier 用于匹配特定类型的网络流量，以便在ACL 规则中对其进行操作，比如允许或拒绝。

以下是一些Huawei 设备上ACL Traffic Classifier 命令的基本语法和详细说明：1. 基本语法：```bash[~HUAWEI] acl (number) [match-order {config | auto}] [name acl-name] [description text] [~HUAWEI-acl-basic-number] rule (rule-id) [name rule-name] [description text][~HUAWEI-acl-basic-number-rule-rule-id] [deny | permit] [log]```2. 详细说明：- `acl (number)`: 进入ACL 配置模式，其中`(number)` 是ACL 号。

- `match-order {config | auto}`: 指定匹配顺序，可以是`config`（按配置顺序匹配）或`auto`（按配置顺序和匹配命令的顺序自动匹配）。

- `name acl-name`: 指定ACL 的名称。

- `description text`: 为ACL 添加描述信息。

在ACL 配置模式下，可以使用`rule (rule-id)` 进入ACL Rule 配置模式。

其中：- `rule (rule-id)`: 进入ACL Rule 配置模式，其中`(rule-id)` 是规则号。

- `name rule-name`: 指定ACL Rule 的名称。

acl traffic classifier命令详解-回复ACL（Access Control List）是一种用于配置网络设备以控制和过滤流量的方法。

其中，ACL traffic classifier命令是用于创建和配置ACL分类器的命令。

本文将详细介绍ACL traffic classifier命令，以及它的使用方法和示例。

一、ACL Traffic Classifier命令介绍1.ACL Traffic Classifier命令的作用ACL Traffic Classifier命令用于配置ACL分类器，ACL分类器可以用于根据流量的特征进行分类和过滤。

它可以根据源IP地址、目的IP地址、协议类型、端口号等进行分类，从而实现对特定流量的控制和管控。

2.使用ACL Traffic Classifier命令的前提条件在使用ACL Traffic Classifier命令之前，需要满足以下条件：- 网络设备支持ACL功能，并已启用ACL特性。

- 了解ACL分类器的基本概念和原理。

- 确定需要对流量进行分类和过滤的准则，如IP地址、协议类型等。

二、ACL Traffic Classifier命令的使用方法1.命令格式ACL Traffic Classifier命令的基本格式如下：[例1] acl traffic classifier classifier-name其中，classifier-name为ACL分类器的名称，可以根据用户的实际需求进行命名。

2.命令参数ACL Traffic Classifier命令的主要参数如下：- domain domain-name：指定ACL分类器的领域名称。

领域名称可以是默认的system或用户自定义的名称。

- operator and or：指定ACL分类器的匹配条件之间的逻辑关系，默认为and。

- comment text：对ACL分类器进行注释，可以提供一些额外的信息。

低端交换机通过traffic-policy引用acl因配置错误导致过滤报文失败现象描述：在CMNET接入交换机上希望利用traffic-policy，来对用户的上网行为进行管理，仅允许10.1.1.2的用户能ping通10.1.1.1。

测试了三种配置均失败，以下是在S5300上做的几次测试的结果及配置：1）10.1.1.2发给10.1.1.1的icmp报文被过滤，其他任何类型业务正常vlan 1traffic-policy test inbound#acl number 3001rule 10 permit icmp source 10.1.1.2 0 destination 10.1.1.1 0#traffic classifier testif-match acl 3001#traffic behavior testdeny#traffic policy testclassifier test behavior test#interface Vlanif1ip address 10.1.1.1 255.255.252.02）所有的icmp报文被过滤vlan 1traffic-policy test inbound#acl number 3001rule 10 permit icmp source 10.1.1.2 0 destination 10.1.1.1 0 rule 20 deny icmp#traffic classifier testif-match acl 3001#traffic behavior testdeny#traffic policy testclassifier test behavior test#interface Vlanif1ip address 10.1.1.1 255.255.252.03）所有类型报文均被放行：vlan 1traffic-policy test inbound#acl number 3001rule 10 permit icmp source 10.1.1.2 0 destination 10.1.1.1 0 rule 20 deny icmp#traffic classifier testif-match acl 3001#traffic behavior testpermit#traffic policy testclassifier test behavior test#interface Vlanif1ip address 10.1.1.1 255.255.252.0原因分析：流程图：在低端交换机上通过traffic-policy引用acl场景中，低端交换机acl的rule里面的permit/deny是不生效的，一切取决于traffic-behaviour中的配置本次测试所作操作失败的原因在于：1）匹配rule 10 的报文被deny(rule中permit无效)，其他没有匹配rule 10的报文默认permit2）匹配rule 10和20 的报文被deny，即丢弃所有icmp，报文默认permit 3）匹配rule 10和20 的报文被permit，即丢弃所有icmp，报文默认permit解决措施：正确的配置：在一个policy中配两个classifier behavior对，前面一个允许特定icmp流量通过，后面一个禁止其它icmp流量acl number 3001rule 10 permit icmp source 10.1.1.2 0 destination 10.1.1.1 0 #acl number 3002rule 20 deny icmp#traffic classifier mgtif-match acl 3001#traffic classifier mgt2if-match acl 3002#traffic behavior mgtpermit#traffic behavior mgt2deny#traffic policy testclassifier mgt behavior mgtclassifier mgt2 behavior mgt2建议与总结：高端交换机S9300的ACL中rule定义的permit/deny是生效的，结合behaviour中的permit/deny共同作用，两个中有一个deny结果就是deny。

华为认证ICT专家HCIE考试(习题卷18)说明：答案和解析在试卷最后第1部分：单项选择题，共51题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]IP 地址 132.119.100.200 的子网掩码是 255.255.255.240，哪么它所在子网的广播地址是 。

A)132.119.100.207B)132.119.100.255C)132.119.100.193D)132.119.100.2232.[单选题]数据库实例状态为“规格变更中”,表示实例正在() 。

A)正在修改数据库实例的数据库端口B)数据库实例的CPU和内存规格变更中C)数据库代理的CPU和内存规格变更中D)数据库实例的磁盘空间扩容中3.[单选题]RDS主备实例内存规格配置最高为()。

A)128GBB)256GBC)512D)1024GB4.[单选题]以下关于华为交换机中 MuxVLAN 描述正确的是?A)在同一VLAN 下，Mux VLAN可以和Super VLAN 混合使用B)Principal Port 可以和Mux VLAN 内的所有端口进行通信C)Mux VLAN分为Principal VLAN 和Subordinate VLAN。

Subordinate VLAN 又分为 Separate VLAN 和 Lsolate VLAND)每个Separate VLAN 可以绑定多个Principal VLAN5.[单选题]如下是基于自助服务系统的FusionAccessDaas系统主要角色的业务流程，请按照正确的总体流程进行排序：1、运营商管理员审批；2、租户管理员申请开户；3、最终用户使用桌面；4、租户管理员自助发放桌面。

A)1->2->3->4B)2->1->4->3C)4->2->1->3D)1->4->2->36.[单选题]关于策略路由,以下描迷错误的是A)配置本地策略路由时,如果策略中同时设置了两个下跳和两个出接口,那么报交转发仅在两个出接口之间负载分担。