ACG1000-AK250升级到IMW110-R6618P02后，流控99%不生效

核心原因排查：流量统计与识别机制

1. 检查“流量统计”开关与模式

• 确认全局开关：在流控配置页面的顶部（如图1所示），确保“启用流量详情统计”已勾选。
• 检查采样模式：部分新版本引入了“流采样”模式以减轻性能压力。如果开启了采样，实时速率可能会显示极低或为0。
  • 操作建议：进入流控的高级设置或系统设置，查看是否有“流采样”、“NetFlow采样”等选项，如果有，请尝试关闭，改为全量统计模式进行测试。

2. 应用识别库问题（最常见原因）

• 检查识别库状态：
  • 进入系统管理或特征库升级页面，查看“应用识别特征库”的版本和状态。
  • 升级系统固件后，旧的特征库可能失效，或者新固件需要配套的新特征库。
• 强制更新特征库：尝试手动下载并升级最新的应用识别库。
• 测试策略：
  • 临时新建一条流控策略，匹配条件选择“所有应用”或“未知应用”，设置一个极低的带宽限制（如10kbps）。
  • 如果这条策略生效了，说明是应用识别的问题，而非流控引擎的问题。

3. 策略匹配顺序与父子通道逻辑

• 父通道配置检查：确保父通道（“保障网页”）的配置是正确的。父通道通常只作为容器，不直接配置复杂的匹配条件。
• 子通道优先级：H3C ACG的策略匹配通常遵循“深度优先”或“配置顺序”。确保具体的子策略（如“邮箱”）没有被父通道的宽泛规则提前拦截。
• 默认通道：截图中的“默认通道”显示有流量（11.81 Mb/s），这说明物理链路是有流量的，且设备能统计到未匹配任何策略的流量。这进一步证实了是特定策略匹配失败，而不是设备完全不工作。

具体的解决步骤

步骤一：重置流控引擎

1. 在Web界面关闭“启用流量详情统计”。
2. 保存配置。
3. 等待1分钟，重新勾选“启用流量详情统计”。
4. 保存配置，观察“默认通道”以外的策略是否有变化。

步骤二：排查“网页”应用定义

1. 点击策略中的“选择应用”或查看应用列表。
2. 确认“网页”分类下是否真的包含您正在测试的流量（例如HTTP/HTTPS浏览）。
3. 关键点：现在的网页流量大部分是HTTPS。如果设备没有开启SSL解密（通常ACG不开启），它只能根据SNI或IP来判断应用。新版本的识别逻辑可能变得更严格。
4. 测试：尝试将策略的应用匹配条件改为“HTTP”或“TCP 80端口”进行测试，看是否有速率显示。

步骤三：回退版本或联系H3C 400

• 这是一个已知的版本Bug。R6618P02版本可能在某些特定硬件型号（AK250）上存在流控统计丢失的问题。
• 建议：登录H3C官网或联系400技术支持，查询R6618P02版本关于ACG1000-AK250的“已知问题列表”。通常建议回退到稳定的R6616P02版本，或者升级到更新的补丁版本（如P03或P04）。

一、先明确：R6616→R6618 的关键变更（直接导致流控失效）

1. 线路 / 带宽模型重构：R6618 起强制要求线路带宽≥2Mbps，旧配置带宽过低会直接隐藏流控统计。
2. 桥接模式绑定接口变更：旧版可绑 BVI，R6618 必须绑定物理接口（GE0/GE1），绑 BVI 则流控 0 匹配。
3. 惩罚通道自动迁移 Bug：R6616 的限额引用 QoS 通道，升级后应自动转惩罚通道；部分配置会迁移失败，导致通道失效。
4. 全局默认直通 / 排除策略：R6618 新增默认全局排除 / 直通，旧配置未清理会覆盖流控。

二、10 分钟快速排查（按优先级，逐项核对）

1. 线路带宽检查（必查）

• 路径：策略→流量控制→虚拟线路配置
• 问题：带宽≤2Mbps（R6618 硬限制）
• 解决：改为 **≥10Mbps**（如 100M），保存后看统计是否有流量。

2. 流控通道绑定接口（桥接模式必查）

• 旧版：绑定 BVI 接口（如 BVI1）
• 新版：必须绑定物理接口（GE0/GE1）
• 解决：编辑所有流控通道，绑定物理接口，删除 BVI 绑定。

3. 惩罚通道迁移验证（限额策略用户必查）

• 路径：策略→流量控制→惩罚通道
• 问题：R6616 的限额引用 QoS 通道，升级后未自动生成惩罚通道
• 解决：
  1. 截图旧限额配置
  2. 删除旧限额 + 旧 QoS 通道
  3. 新建惩罚通道（参数同旧 QoS）
  4. 限额策略引用新惩罚通道。

4. 全局排除 / 直通策略（高频原因）

• 路径：系统→全局配置→流量排除 / 直通
• 问题：R6618 默认新增全局直通所有流量，或旧排除策略未清理
• 解决：删除所有全局排除 / 直通，仅保留必要的业务排除。

5. 策略匹配方向与地址对象（R6618 严格化）

• 变更：R6618严格区分源 / 目的、上行 / 下行，旧版模糊匹配失效。
• 解决：
  • 上行：源 = 内网，目的 = 外网
  • 下行：源 = 外网，目的 = 内网
  • 地址对象双向分开，避免 any 匹配。

6. 会话表清理（升级残留会话）

• 命令行：clear ip connection all
• 原因：旧版本会话残留，新策略不匹配旧会话，导致统计为 0H3C。

7. 特征库 / 应用识别（R6618 库更新）

• 路径：系统→特征库更新
• 问题：R6618 需匹配新版特征库，旧库识别失败导致流控不匹配
• 解决：升级到最新应用库，重启设备。

三、终极恢复方案（上述无效时，干净重建）

1. 备份当前配置
2. 恢复出厂设置（清空所有旧配置残留）
3. 按 R6618 标准配置重建：
   • 虚拟线路：带宽≥10Mbps，绑定物理接口
   • 流控通道：绑定物理接口，双向分开
   • 限额策略：使用惩罚通道
   • 无全局排除 / 直通
4. 仅导入必要的地址 / 用户对象，不导入旧流控策略。

四、为什么重启 / 重配无效？

• 重启：残留会话表 + 隐性默认策略未清理
• 重配：未按 R6618 的接口绑定、带宽阈值、惩罚通道新规则配置，仍用旧版逻辑。

五、版本回退建议（临时恢复业务）