1华为交换机端口镜像设置<HUAWEI> system-view[HUAWEI] observe-port 1 in terface gigabitethernet 1/0/1 （配置观察端口）[HUAWEI] in terface gigabitethernet 2/0/1[HUAWEI-GigabitEthernet2/0/1] port-mirrori ng to observe-port 1 in bou nd （配置镜像端口）2、华为交换机ACL控制列表和包过滤设置ACL控制列表种类：①、标准访问控制列表：只能使用源地址描述数据，表明是允许还是拒绝命令格式：acl XXXrule permit/de ny source source_address source_wildcard/a nyeg:acl 1199rule permit source 192.168.1.0 0.0.0.255（允许源地址为192.168.1.0 网段的数据包通过）②、扩展访问控制列表：在标准控制列表的基础上添加基于协议和端口号的控制• rule deny icmp source 10.1.0.0 0.0.255.255 destination any icmp-type host-redirect[CMP ][机帀疋向报文■ rule deny tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.2553、流策略(Traffic Policy )用于QoS复杂流分类，实现丰富的QoS策略。

Traffic Policy 分为三部分:CD、流分类(Classifier )模板：定义流量类型。

一个Classifier 可以配置一条或多条if-match 语句，if-match 语句中可以引用ACL规则。

不同的Classifier 模板可以应用相同的ACL规则。

一个ACL规则可以配置一个或多个Rule语句。

C、流动作(Behavior )模板：指，用于定义针对该类流量可实施的流动作。

一个Behavior 可以定义一个或多个动作。

C、流策略(Traffic Policy )模板：将流分类Classifier 和流动作Behavior关联，成为一个Classifier & Behavior 对。

当Traffic Policy 模板设置完毕之后，需要将Traffic Policy模板应用到接口上才能使策略生效。

Port PortACL ACLClassifier & Behavior 对之间的匹配顺序一个Traffic-policy 中可以配置一个或多个Classifier & Behavior 对。

当收到一个报文，做复杂流分类处理时，会按照Traffic-policy 中Classifier & Behavior 对的配置顺序进行匹配。

如果命中，则停止匹配；如果不命中，则匹配后面的Classifier ；如果是最后一个Classifier ，且还不命中，则报文走正常的转发处理，类似于没有应用流分类策略。

Classifier 之间的顺序可以通过命令行classifier classifier-name behavior behavior-name precedence precedence 修改。

例如，Traffic-policy T 中配置了A、B、C 三个Classifier ：#traffic policy Tclassifier A behavior Aclassifier B behavior Bclassifier C behavior C #缺省情况下，A、B、C三个Classifier 的顺序分别是1、2和3，与配置的顺序相同。

如果要将 A 排在最后，可以执行如下命令：classifier A behavior A precedence 4结果是：#traffic policy Tclassifier B behavior Bclassifier C behavior C classifier A behavior A precedence 4#此时，B之前的顺序号1没有被占用，因此可以在B之前添加一个Classifier （假设是D）,则可执行如下命令实现。

classifier D behavior D precedence 1结果是：#traffic policy Tclassifier D behavior D precedence 1classifier B behavior Bclassifier C behavior Cclassifier A behavior A precedence 4#如果按如下方法，不指定precedence 值的方式添加D，classifier D behavior D结果如下：#traffic policy Tclassifier B behavior Bclassifier C behavior Cclassifier A behavior A precedence 4classifier D behavior D#If-match 语句之间的匹配顺序由于Classifier 中配置的是一个或多个if-match 语句，按照if-match 语句配置顺序进行匹配。

报文命中if-match 语句后，是否执行对应的behavior 动作，取决于If-match 语句之间是And还是Or 逻辑。

If-match 语句之间的And 和Or 逻辑如果流分类模板下配置了多个if-match 语句，则这些语句之间有And 和Or 两种逻辑关系：Or 逻辑：数据包只要匹配该流分类下的任何一条if-match 语句定义的规则就属于该类。

And逻辑：数据包必须匹配该流分类下的全部if-match 语句才属于该类。

流策略的执行过程（if-match 语句间是Or 逻辑）图2流策略的执行过程（Or逻辑）#Classifier ，如果lf-match 语句之间是 Or 逻辑，按照if-match 语句配置顺序进行匹配,数据包一旦命中某个if-match 语句： 如果命中的if-match 语句没有引用 ACL 则执行behavior 定义的动作。

如果命中的if-match 语句引用了 ACL,且命中的是 permit 规则，则执行 behavior 定义的 动作；命中的是deny 规则，则直接丢弃报文。

如果数据包没有命中任何 if-match 语句，则不支持任何动作，继续处理下一个 Classifier流策略的执行过程（if-match 语句间是And 逻辑） 如果If-match 语句之间是And 逻辑，设备先会将这些if-match 语句进行合并（这里的"合 并”相当于集合的乘法操作），再按照Or 逻辑的处理流程进行处理。

对于引用ACL 的if-match 语句，不是将 ACL 内部的各条 Rule 进行合并，而是逐条与其他 if-match 语句进行合并。

因此值得注意的是：And 逻辑中if-match 语句的顺序不影响匹配结果，但ACL 中Rule 的顺序仍然会影响匹配结果。

例如，某个流策略下配了如下一个classifier:Gat fist dn?.gifier£ii是舌引J■nuLdi：uh»Rernirr^^l^ M Den 72^*^-BehaviorGet first i^malclLPerrFicGat next rf-mattiiGe4 nextr如图2，针对每个acl 3000 rule 5 permit ip source 1.1.1.1 0rule 10 deny ip source 2.2.2.2 0#traffic classifier example operator andif-match acl 3000if-match dscp af11#则设备首先进行if-match 语句的合并，合并结果相当于：#acl 3000rule 5 permit ip source 1.1.1.1 0 dscp af11rule 10 deny ip source 2.2.2.2 0 dscp af11#traffic classifier example operator orif-match acl 3000#traffic behavior exampleremark dscp af22#traffic policy exampleshare-modeclassifier example behavior example#interface GigabitEthernet2/0/0traffic-policy P inbound#然后，再针对合并结果按Or 逻辑的执行过程进行处理。

处理结果是从GE2/0/0 收到的源IP为1.1.1.1/32 且dscp=10的报文重标记为AF22,源IP为1.1.1.2/32 且dscp=10的报文丢弃，其他报文由于没有匹配任何规则，直接转发。

对于And逻辑，系统默认License中最多只允许存在一条引用ACL的if-match 语句；而Or逻辑中，可以有多条引用ACL的if-match 语句。

如果更改License使And逻辑允许存在多条引用ACL的if-match 语句，则这些if-match语句的合并规则是：permit + permit = permitpermit + deny = denydeny + permit = denydeny + deny = denyIf-math 语句引用ACL时的匹配过程如果if-match 语句指定的是ACL，需要在ACL的多个Rule语句中进行匹配：首先查找用户是否配置了该ACL（因为流分类允许引用不存在的ACL，命中的第一条则停止匹配，不再继续查找后续的规则。

说明：当Rule中的动作为Deny时，如果behavior是镜像或采样，即使对于丢弃的报文，也会执行behavior 。

ACL中可以指定permit或deny规则，它与ACL所在Classifier 所对应的Behavior中的动作的关系是：ACL为deny,则不关心Behavior，报文最终动作是deny；ACL为permit，则执行Behavior，报文最终动作是Behavior 。

例如以下配置的匹配结果是：源地址是50.0.0.1/24 的报文IP 优先级被标记为7；源地址是60.0.0.1/24 的报文被丢弃；源地址是70.0.0.1/24 的报文IP 优先级不变。