m9000三层子接口流镜像qos配置不生效问题处理

m9000设备在三层物理子接口上下发qos流量镜像策略，设备提示显示不支持，有如下报错

[M9000_IRF-GigabitEthernet1/1/0/21.1]qos apply policy jing inbound
The operation is not supported.
后确定qos需要在物理口上下发，但是下发后发现镜像的目的端口出方向并未统计到相关流量，查看接口下qos策略状态显示为failed失败，表示策略并未生效。

Interface: GigabitEthernet1/1/0/21
  Direction: Inbound
  Type     : Enhancement
  Policy: jing
   Classifier: default-class
     Operator: AND
     Rule(s) :
      If-match any
     Behavior: be
      -none-

Classifier: jing (Failed)
     Operator: AND
     Rule(s) :
      If-match acl 3838
     Behavior: jing
      Mirroring:
        Mirror to interface GigabitEthernet1/1/0/18

m9000下发qos策略需要下发在物理接口上，且如流量统计accounting、镜像mirror-to等动作需要交换芯片处理的动作，需要在qos apply policy inbound后面加上enhancement关键字，表示将匹配流量交由交换芯片处理，而不是软cpu处理。

因此在物理接口上下发未带enhancement参数时，会报错

[M9000_IRF-GigabitEthernet1/1/0/21]qos apply policy jing inbound
The operation is not supported.
这里现场实际上前后反馈两个问题

1 现场最初的想法是在子接口上下发，从而匹配该子接口的vlan tag里的特定流量，后证实不支持在子接口上下发，但物理口下发后能否匹配vlan tag？

2 改为在物理接口上下发，且加上enhancement参数，仍然显示为failed，原因是什么？

对于问题1，可以在流量匹配条件里面加上vlan，从而在物理口上下发的qos也能匹配到业务vlan，不需要在子接口上下发。

traffic classifier jing operator and
 if-match acl 3838
 if-match customer-vlan-id 10

对于问题2，查看现场配置，发现接口存在vpn实例的绑定关系。

[M9000_IRF-GigabitEthernet1/1/0/21]dis thi
#
interface GigabitEthernet1/1/0/21
 port link-mode route
 combo enable copper
 ip binding vpn-instance management
 ip address 10.37.0.2 255.255.255.0
按照以往使用acl匹配vpn实例流量的经验，因此在acl 3838里面，rule也有绑定vpn实例。

[M9000_IRF-classifier-jing]dis acl 3838
Advanced ACL  3838, named -none-, 1 rule,
ACL's step is 5
 rule 0 permit ip vpn-instance management
这就是问题所在。如上文所述，该qos是由交换芯片处理，而vpn实例特性仅仅用来隔离软件资源、表项，如路由等，属于软件cpu处理范畴，交换芯片无法“识别”或者“处理”该vpn实例特性的acl，在流量进入交换芯片处此时无vpn实例的特性，因此导致下发失败，从而流量镜像功能不生效。

解决办法就是将acl规则里面的vpn实例去掉即可。

[M9000_IRF-GigabitEthernet1/1/0/21]dis qos policy interface GigabitEthernet 1/1/
0/21
Interface: GigabitEthernet1/1/0/21
  Direction: Inbound
  Type     : Enhancement
  Policy: jing
   Classifier: default-class
     Operator: AND
     Rule(s) :
      If-match any
     Behavior: be
      -none-
   Classifier: jing (Failed)
     Operator: AND
     Rule(s) :
      If-match acl 3838
      If-match customer-vlan-id 10
     Behavior: jing
      Mirroring:
        Mirror to interface GigabitEthernet1/1/0/18

[M9000_IRF-GigabitEthernet1/1/0/21]qui
[M9000_IRF]acl num 3838
[M9000_IRF-acl-adv-3838]dis thi
#
acl number 3838
 rule 0 permit ip vpn-instance management
#
return
[M9000_IRF-acl-adv-3838]undo r
[M9000_IRF-acl-adv-3838]undo rule 0
[M9000_IRF-acl-adv-3838]ru
[M9000_IRF-acl-adv-3838]rule p
[M9000_IRF-acl-adv-3838]rule permit ip
[M9000_IRF-acl-adv-3838]dis qos policy interface GigabitEthernet 1/1/0/21
Interface: GigabitEthernet1/1/0/21
  Direction: Inbound
  Type     : Enhancement
  Policy: jing
   Classifier: default-class
     Operator: AND
     Rule(s) :
      If-match any
     Behavior: be
      -none-
   Classifier: jing
     Operator: AND
     Rule(s) :
      If-match acl 3838
      If-match customer-vlan-id 10
     Behavior: jing
      Mirroring:
        Mirror to interface GigabitEthernet1/1/0/18

1 qos策略下发在物理接口的入方向，且对于流量统计和镜像等动作，需要加enhancement参数。对于接口板是否支持物理接口出方向进行下发，请参考产品手册qos部分。

2 m9000的vpn实例为blade板上的特性，当流量上送到blade板之后，才会存在vpn实例特性。