MQC配置注意事项

涉及网元

无需其他网元配合。

License支持

MQC是交换机的基本特性，无需获得License许可即可应用此功能。

V200R019C10版本特性支持情况

S12700, S12700E系列交换机中所有款型均支持MQC。

如需了解交换机软件配套详细信息，请点击硬件查询工具。

特性依赖和限制

• MQC的规格如表2-2所示。

  表2-2 MQC规格

  项目	规格
  设备支持的流分类数	512
  一个流分类支持的if-match规则数	2048
  设备支持的流行为数	256
  设备支持的流策略数	256
  一个流策略支持绑定的流分类数	256
  设备支持应用流策略的VLAN数	3000

• 应用流策略需要设备有足够的ACL资源，否则会导致应用失败。以一个流策略中的if-match占用一条ACL为例，同一个流策略应用到M个接口时，将占用M条ACL资源；应用到L个VLAN且设备上存在N块接口板时，将占用L*N条ACL规则；应用到全局且设备上存在N块接口板时，将占用N条ACL规则。if-match规则占用ACL资源的情况参考表2-3。

  表2-3 流分类规则占用ACL资源介绍

  流分类规则	ACL资源占用情况说明
  if-match vlan-id start-vlan-id [ to end-vlan-id ] [ cvlan-id cvlan-id ] if-match cvlan-id start-vlan-id [ to end-vlan-id ] [ vlan-id vlan-id ]	分段下发，占用多条ACL资源，分段规则可以通过命令display acl division start-id to end-id查看。
  if-match acl { acl-number | acl-name } if-match ipv6 acl { acl-number | acl-name }	上行：包含range port-start port-end的rule规则，在range资源耗尽时，会分段下发，导致一条规则占用多条ACL资源。包含有tcp-flag established的rule规则，每条规则占用2条ACL资源。（X系列单板与下行一致） 下行：包含range port-start port-end参数的rule规则分段下发，占用多条ACL资源，其他情况一条rule规则占用一条资源。分段规则可以通过命令display acl division start-id to end-id查看。
  其他if-match规则	占用一条ACL资源。

  V200R013C02及后续版本中，应用在接口入方向的流策略所占用的资源，通常可以与单板上其他在入方向应用相同流策略的接口共享，不支持ACL资源共享的情况包括：

  • 流行为配置car或者statistic enable
  • 除X系列以外的单板，支持配置扩展表项空间资源模式
  • X系列中不支持配置扩展表项空间资源模式的单板，流分类配置IPv6规则（例如if-match ipv6 dscp、if-match protocol ipv6、if-match ipv6 acl）
  • 除X系列以外的单板，流行为配置remark 8021p、mac-address learning disable、add-tag vlan-id、remark flow-id、remark cvlan-id、redirect vpn-instance或者remark vlan-id

  在任意视图执行以下命令，可以查询ACL资源相关信息：

  • 执行命令display traffic-policy applied-record [ policy-name ]，查看应用在接口入方向的流策略是否支持ACL资源共享。
  • 执行命令display acl resource [ slot slot-id ]，查看ACL资源信息。
• 当一个流策略在多个视图下应用时：高优先级视图下的流策略生效。视图的生效优先级从高到低为：VLANIF接口视图 > WLAN-ESS接口视图/SSID模板视图 > 物理接口子接口视图/Eth-Trunk子接口视图 > 物理接口视图/Eth-Trunk接口视图/端口组视图 > VLAN视图 > 全局视图。

• 当报文同时匹配多个流策略，或同一流策略的多个流分类+流行为时，生效的流策略或流分类+流行为如表2-4和表2-5所示：

  表2-4 流分类的分类规则属于同一类

  报文匹配不同视图下不同流策略	报文匹配同一视图下同方向的同一流策略的多个流分类+流行为
  仅生效优先级最高的视图下的一个流策略生效。	只有该流策略的配置信息中第一个流分类+流行为生效。 在流策略视图下执行命令display this查看该流策略的配置信息，配置信息中的第一个流分类+流行为即为最终生效的流分类+流行为。

  表2-5 流分类的分类规则不属于同一类

  单板	报文匹配不同视图下的不同流策略	报文匹配同一视图下同方向的同一流策略的多个流分类+流行为
  X系列单板	仅生效优先级最高的视图下的一个流策略生效。	只有该流策略的配置信息中第一个流分类+流行为生效。 在流策略视图下执行命令display this查看该流策略的配置信息，配置信息中的第一个流分类+流行为即为最终生效的流分类+流行为。
  除X系列单板以外的单板	若流动作彼此不冲突，则流策略都会生效。 若流动作产生冲突： 当流策略中流分类的匹配顺序为配置顺序（config），仅生效优先级最高的视图下的一个流策略生效。 当流策略中流分类的匹配顺序为自动顺序（auto），流分类规则生效优先级较高的流策略生效。流分类规则的生效优先级为：二层规则+三层规则 > 高级ACL6规则 > 基本ACL6规则 > 二层规则 > 三层规则 > 自定义ACL规则。	若流动作彼此不冲突，则流分类+流行为都会生效，流动作都会执行。 若流动作产生冲突： 当流策略中流分类的匹配顺序为配置顺序（config），在流策略视图下执行命令display this查看该流策略的配置信息，配置信息中的第一个流分类+流行为即为最终生效的流分类+流行为。 当流策略中流分类的匹配顺序为自动顺序（auto），流分类规则生效优先级较高的流分类+流行为生效。流分类规则的生效优先级为：二层规则+三层规则 > 高级ACL6规则 > 基本ACL6规则 > 二层规则 > 三层规则 > 自定义ACL规则。

  建议用户按照从高到低的优先级顺序配置，否则可能会导致流策略不能立即生效。流分类的分类规则详见“MQC简介”。

• 匹配同一个ACL的MQC流策略和基于ACL的简化流策略应用到同一对象时，基于ACL的简化流策略优先生效。以下情况例外：使用traffic-secure命令配置基于ACL的报文过滤，可以与匹配同一个ACL的MQC流策略同时生效。

• 如果ACL规则匹配了报文的VPN实例名称，则流策略下发不成功。

• 如果流策略因交换机上ACL资源不足而应用失败，建议删除应用失败的流策略配置。否则如果交换机保存配置并且重启，其他已正常运行的业务的配置会恢复失败。

• 如果需要删除的流策略已经应用到全局、接口或VLAN，则不允许直接删除该策略，需要先在相应的视图下执行undo traffic-policy命令取消对该策略的应用，然后再到全局执行undo traffic policy命令完成删除。如果没有应用，则可以直接删除。

• V200R009C00版本之前的设备，VLANIF接口不支持应用流策略。V200R009C00及之后版本的设备，VLANIF接口支持应用流策略。

• 目的IP是本机的报文会上送CPU，另外一些协议报文对应的功能使能后也会上送CPU，比如BGP、OSPF、LACP使能后也会上送CPU处理。上送CPU的报文同时匹配流策略中的流分类规则，如果CPCAR和流策略动作冲突，CPCAR生效。
• 若对入方向流量同时配置MQC和VLAN Mapping功能：
  • 除X系列以外的单板在流行为中配置重定向报文到VPN实例，MQC匹配映射前的VLAN ID。
  • X系列单板在流行为中配置灵活QinQ、VLAN Mapping、重标记流ID、重标记VLAN报文的802.1p优先级或禁止MAC地址学习，MQC匹配映射前的VLAN ID。
  • 其他情况下，MQC匹配映射后的VLAN ID。
• 子接口下应用流策略的相关限制：
  • 流行为中不能存在修改VLAN信息的相关动作，譬如remark 8021p、remark cvlan-id、remark vlan-id、add-tag vlan-id，否则流策略会应用失败。
  • 流策略应用在子接口下，设备默认匹配报文的内层或外层VLAN（跟子接口的具体配置相关，例如子接口下配置了qinq termination pe-vid ce-vid，则同时匹配内层和外层VLAN），此时如果在流分类中也配置了匹配内层或外层VLAN的规则，则会存在冲突，导致流策略应用失败。