evpn+vxlan架构包过滤在聚合不生效

 1. 包过滤需在AC以太网服务实例生效的原因

   精细流量匹配需求 

     包过滤（如ACL）需基于特定业务流（如VLAN、报文特征）进行匹配。AC以太网服务实例通过encapsulation命令（如encapsulation s-vid vlan-id）创建逻辑通道，精确隔离不同业务流（如不同VLAN的报文）。 

     若直接在聚合口应用ACL，设备无法区分聚合组内不同业务流的报文，导致过滤规则失效。

   技术实现限制 

     如配置指导所述：

      "PE通过二层聚合接口连接CE时，需配置以太网服务实例以精确匹配属于AC（Attachment Circuit）的报文。" 

     包过滤依赖服务实例提供的报文分类能力，否则无法识别需过滤的具体业务流。

 2. MQC限速可在聚合口生效的原因

   聚合口作为整体资源管理 

     MQC限速（如QoS策略）作用于聚合组的整体带宽资源。配置时（如qos apply policy），设备将聚合口视为单一逻辑接口进行流量整形/限速，无需区分内部业务流。

   限速对象为物理链路 

     MQC的CAR（承诺访问速率）针对接口的物理流量。无论聚合组内承载多少VLAN，限速策略均基于聚合口的物理队列执行，与业务流精细分类无关。

 参考依据： 

 配置指导中明确要求包过滤需在服务实例视图（如service-instance）下配置匹配规则（encapsulation），而QoS策略可在接口视图直接应用（如qos apply policy）。

1. 聚合口下直接配置包过滤（packet-filter、ACL）不生效，是正常且符合平台转发设计的行为；
2. 必须在对应的 Ethernet Service-Instance 下配置包过滤，才能对进入 VXLAN 隧道的流量生效；
3. 而聚合口下直接配置 MQC 流量监管 / 限速（qos apply policy）可以生效，是因为 QoS 与 ACL 包过滤的转发处理点、流识别时机完全不同。