无法匹配输出策略映射中的ACL。

Question

这是我的配置

access-list 2000 permit ip 8.8.8.0 0.0.0.255 any
access-list 2000 permit ip 8.34.208.0 0.0.15.255 any
access-list 2000 permit ip 8.35.192.0 0.0.15.255 any
access-list 2000 permit ip 23.236.48.0 0.0.15.255 any
access-list 2000 permit ip 35.240.0.0 0.7.255.255 any
access-list 2000 permit ip 64.9.224.0 0.0.1.255 any
access-list 2000 permit ip 64.9.228.0 0.0.1.255 any
access-list 2000 permit ip 64.15.112.0 0.0.15.255 any
access-list 2000 permit ip 64.233.160.0 0.0.31.255 any


class-map match-any google-traffic
 match access-group 2000
!         
policy-map 528
 class class-default
  shape average 3200000000 

interface TenGigabitEthernet0/0/1
 description Cust-1
 no ip address          
 service instance 528 ethernet
  description Ramy
  encapsulation dot1q 528
  rewrite ingress tag pop 1 symmetric
  service-policy output 528
  bridge-domain 528
 !        
! 

现在一切都好了

我需要在我的策略528上使用google类的流量，我得到错误。

FiberISP-Cisco(config)#policy-map 528
FiberISP-Cisco(config-pmap)#class google-traffic
QoS: Configuration failed. Can NOT match ACL in an output policy-map

Answer 1

我在CISCO ASR 903 IOS XE 3.18S上找到了一种成功的方法来控制指定ip的流量

例如，我有一些序列化的ip 74.0.0.0/8 (比如google)。

1-子网范围从1.0.0.0/8到255.0.0.0/8，并控制您的ip('s)您想要的在这里输入链接描述

2-现在你有两个射程

1.0.0.0/8   
2.0.0.0/7
4.0.0.0/6   
8.0.0.0/5   
16.0.0.0/4  
32.0.0.0/3  
64.0.0.0/5  
72.0.0.0/8
74.0.0.0/8  (this we need to policy )
75.0.0.0/8
75.0.0.0/8  
76.0.0.0/6  
80.0.0.0/4
96.0.0.0/3  
128.0.0.0/1

3-创建对象组

#object-group network object_ip_select
      74.0.0.0/8 




 #object-group network object_ip_other
            1.0.0.0/8   
            2.0.0.0/7
            4.0.0.0/6   
            8.0.0.0/5   
            16.0.0.0/4  
            32.0.0.0/3  
            64.0.0.0/5  
            72.0.0.0/
            75.0.0.0/8
            75.0.0.0/8  
            76.0.0.0/6  
            80.0.0.0/4
            96.0.0.0/3  
            128.0.0.0/1

4-为Cust创建访问列表并选择dst-地址作为Cust ip的地址

#ip access-list extended ACL-CUST1-IP-SELECT
 #permit ip object-group object_ip_select <CUSTNETWORK> <WILDCARD>

#ip access-list extended ACL-CUST1-IP-OTHER
 #permit ip object-group object_ip_other <CUSTNETWORK> <WILDCARD>

5-为ip-select和其他ips创建两个策略映射。

 #class-map match-all CLASS-CUST1-IP-SELECT
 #match access-group name ACL-CUST1-IP-SELECT


 #class-map match-all CLASS-CUST1-IP-OTHER
 #match access-group name ACL-CUST1-IP-OTHER

6-创建策略映射到我们的类映射

policy-map TRAFFIC-LIMTED
 class CLASS-CUST1-IP-SELECT
  police cir 40M
 class CLASS-CUST1-IP-OTHER
  police cir 90M

7-将此策略映射应用于传入的接口或实例(Vlan)

interface Port-channel2
 service instance 2000 ethernet
  service-policy input TRAFFIC-LIMTED

8-现在cust 1的流量为74.0.0.0/8，其他90M为74.0.0.0/8，如果有多个cust，只需使用ACL类创建另一个ip访问列表，然后将新类添加到策略映射流量限制。

Answer 2

对于ASR 903，使用ACL仅限于入口策略。请参见Cisco ASR 900路由器系列服务质量配置指南：

QoS ACLs仅用于入口通信。

您可以创建一个入口策略给警察或标记与ACL匹配的流量，然后，如果标记为，则可以在出入口设置形状或警力。您可能只是想要监管传入的流量，然后您不需要不必要地路由/切换，然后再将其丢弃在出口处。

编辑：

如果您知道您的客户的地址(Es)或网络(S)，您的路由器资源的最佳利用就是通过将流量控制到所需的速率来解决入口接口上的问题。这只会影响从您的谷歌地址发送到您的客户地址(Es)/network(S)的流量：

access-list 2000 permit ip 8.8.8.0 0.0.0.255 <customer network> <customer wildcard>
access-list 2000 permit ip 8.34.208.0 0.0.15.255 <customer network> <customer wildcard>
access-list 2000 permit ip 8.35.192.0 0.0.15.255 <customer network> <customer wildcard>
access-list 2000 permit ip 23.236.48.0 0.0.15.255 <customer network> <customer wildcard>
access-list 2000 permit ip 35.240.0.0 0.7.255.255 <customer network> <customer wildcard>
access-list 2000 permit ip 64.9.224.0 0.0.1.255 <customer network> <customer wildcard>
access-list 2000 permit ip 64.9.228.0 0.0.1.255 <customer network> <customer wildcard>
access-list 2000 permit ip 64.15.112.0 0.0.15.255 <customer network> <customer wildcard>
access-list 2000 permit ip 64.233.160.0 0.0.31.255 <customer network> <customer wildcard>
!
class-map match-any From_Google_to_Customer_X
 match access-group 2000
!         
policy-map From_Google_to_Customer_X
 class From_Google_to_Customer_X
  police 8000 1000 1000 conform-action transmit exceed-action set-qos-transmit 1 violate-action drop
!
interface <input interface>
 service policy input From_Google_to_Customer_X
!

你可以改变网络(S)，价值观和行动，以适应你的特殊情况。你的问题中没有提供足够的信息给你一个很好的例子。

请记住，具有源地址和目标地址的东西，比如扩展ACL，应该尽可能靠近源应用，以避免不必要地路由注定要丢弃的通信量，这将浪费路由器资源。