华为交换中端产品QACL配置案例集

　　packet-filterinboundip-group123not-care-for-interface

　　packet-filterinboundip-group124not-care-for-interface

　　packet-filterinboundip-group125not-care-for-interface

　　【问题分析】

　　当我们做完配置时，软件对配置进行了相应的记录，我们使用save命令就可以将这些记录保存在配置文件中，每次启动后按照此记录的顺序逐条下发。由于acl的功能和下发顺序密切相关，所以软件上应该能够保证启动后的配置顺序和启动前的顺序一致性。

　　本问题出在软件在buildrun时将acl和qos的顺序进行了调整，将qos的动作放在了acl的动作之后，相当于人为的提高了qos动作的优先级，重起后造成了部分acl失效。将acl删除后再下发，再次改变了匹配顺序，acl规则生效。由于软件设计时将acl和qos设计成了两个模块，而buildrun的各个模块是独立的，所以此部分更改起来需要彻底更改设计方案，变动实在太大。

　　【解决办法】

　　可以将qos的操作移动到前面的端口来做，由于buildrun的顺序是按照端口顺序来做的，这样qos就会先行下发，acl的动作后下发，避免了覆盖的发生。

　　对于上面的例子，也可以将acl186再添加两条如下蓝色字体的规则，

　　aclnumber186

　　rule1permitipsource11.8.14.00.0.0.255destinationany

　　rule5permitipsource11.8.14.1410.0.0.0destination11.8.20.1120.0.0.15

　　rule6permitipsource11.8.14.20.0.0.0destination11.8.20.1120.0.0.15

　　【案例5】

　　我这里用户有这样的一个需求，请帮我确定一下应如何配置：

　　核心使用6506，边缘节点使用五台3526E（使用二层），3526E和6506之间使用trunk模式，用户分为了7个网段。

　　vlan分别为2－8，用户地址是192.168.21.0－27.0。