[原创] 华为高端路由器QOS/ACL策略下发的常见问题

我们在华为高端路由器进行QOS/ACL策略配置时，经常出现部分策略不能生效，或者没有按照我们预定想法执行，关键在于整个ACL条目的书写顺序和策略的执行顺序规则。关于单个ACL执行，不用多讲，大家都知道是“先下发，后执行为以NE20为例，着重对多策略组合下发做一下说明：
配置了3个acl（3015、3025、3055），3个acl分别对应3个流分类（classifier c_3015、classifier c_3025、classifier c_3055），3个流分类对应3个流动作（behavior t_3015、behavior t_3025、behavior t_3055）；再定义一个策略（traffic policy router），关联3个流分类和流动作；最后，入接口下引用策略。发现NE20在配置策略路由后有些生效，有些无效。
分析发现：
检查发现3个acl最后一条rule都是：rule 20 deny ip
当数据包从入端口上来后，执行traffic policy  luyou，对于策略下的3个分类和动作，执行顺序与配置顺序无关，只与流分类的acl大小有关（由小到大），这里先执行classifier c_3015 behavior t_3015。一个ip 报文，首先看acl 3015 中能否匹配，能匹配，则执行动作behavior t_3015
， 若不能匹配3001 中的permit项，将被该其最后一条rule deny掉，此时不执行任何特殊动作，走正常路由转发。这样只有匹配上acl 3015种permit项的报文策略路由才会生效，其他的都不生效。
总结：

1、在配置策略路由时，当一个策略下关联了多个流分类和流动作时，他们执行的顺序是按acl号由小到大执行；
2、配置策略路由时，当一个策略下关联了多个流分类和流动作时，acl中不要配置deny ip 命令，否则只有最小acl号对应的策略才有效。