SR6604 qos限速不生效

路由器为SR6604，GRE隧道上业务全都是带vpn实例的，客户需要实现某一个vpn业务能放通，其他都不放通的效果，现场用qos实现。Acl匹配不放通的vpn-instance，并在traffic behavior中拒绝。

检查代理商的配置如下：

Advanced IPv4 ACL 3000, 6 rules,

ACL's step is 5

 rule 0 permit ip vpn-instance DOS115

 rule 5 permit ip vpn-instance FAS125

 rule 10 permit ip vpn-instance ION171

 rule 15 permit ip vpn-instance NRTS110

 rule 20 permit ip vpn-instance VCS151

 rule 25 permit ip vpn-instance VSS161

#

traffic classifier 1 operator and

 if-match acl 3000

#

traffic behavior 1

 filter deny

#

qos policy 1

 classifier 1 behavior 1

interface Tunnel1 mode gre

 ip address 1.1.1.2 255.255.255.252

 mpls enable

 mpls ldp enable

 qos apply policy 1 outbound

 source 192.168.20.2

 destination 192.168.10.2

发现正确配置了类和流行为，也在qos策略中配置了CB对。

但是当带着需要拒绝的vpn实例ping测试时，发现第一个包总能ping通不会被拒绝，接下来的几个包能够被正常拒绝。

检查配置无误，通过长ping检测是随机丢包还是固定只丢第一个，发现不管ping多少个包，都只会通第一个，后面的都会被拒绝。

ping5个包测试，查看qos匹配的次数

dis qos  policy interface  Tunnel 1

Interface: Tunnel1

  Direction: Outbound

  Policy: 1

Classifier: 1

     Matched : 4 (Packets) 352 (Bytes)

     5-minute statistics:

      Forwarded: 0/0 (pps/bps)

      Dropped  : 0/9 (pps/bps)

     Operator: AND

     Rule(s) :

      If-match acl 3001

     Behavior: 2

      Filter enable: Deny

发现qos只匹配到了四个包，第一个包没有匹配到qos策略。

后来了解到，该原因是设备实现机制的问题：到达隧道口的报文已经是带vpn实例的报文，ACL要匹配的是 IP VPN ，但是只有快转情况才能匹配IP VPN,慢转不匹配IP VPN 。Ping报文的首报文是走慢转，因此无法匹配IP VPN ACL, 后续报文都是快转了，因此能匹配IP VPN 的 ACL 。

每一个五元组的首报文（没有建立快转的报文）无法匹配IP VPN ACL，会出现第一个包能通的现象，但其实不影响业务。 和客户沟通过后客户也表示理解，确实不影响业务。