traffic-filter，traffic-secure和traffic-policy的区别

traffic-filter命令用于在网络设备上配置ACL规则，以实现流量过滤和控制。通常用于路由器、交换机等设备上，用于对网络流量进行精细控制和安全保护。
traffic-secure命令用于在网络设备上配置安全策略，以保护网络安全。通常用于防火墙等设备上，用于检测并防范网络攻击、恶意软件等安全威胁。
traffic-policy命令用于在网络设备上配置QoS（Quality of Service）策略，以优化网络性能和资源利用。通常用于交换机、路由器等设备上，用于对网络流量进行分类、调度、控制等处理。

比如说，一个公司的网络中有一台核心路由器，这台路由器需要进行以下处理：

对进入路由器的数据流进行分类，根据不同的数据类型进行不同的处理，如优先处理视频流、音频流等实时数据，而对于文件传输、邮件等非实时数据可以稍作缓存再进行传输，从而提高网络性能和用户体验。这时，网络管理员可以使用traffic-policy命令来进行QoS策略的配置，对数据流进行分类和调度。

对进入路由器的数据流进行过滤和控制，只允许符合安全策略的流量通过，防止恶意攻击和非法访问。这时，网络管理员可以使用traffic-filter命令来进行ACL规则的配置，对数据流进行过滤和控制。

对通过路由器的数据流进行深度分析和检测，检测并防范网络攻击、恶意软件等安全威胁。这时，网络管理员可以使用traffic-secure命令来进行安全策略的配置，对数据流进行深度分析和检测。

华为设备：

1.traffic-filter的使用示例：

首先，创建一个名为acl-test的ACL规则，并在其中配置一条允许源IP地址为192.168.1.0/24的数据流通过的规则：

$huawei$ acl number 2001

$huawei-acl-basic-2001$ rule 5 permit ip source 192.168.1.0 0.0.0.255 // 配置第5条规则，允许源地址为192.168.1.0/24的IP数据包通过

$huawei-acl-basic-2001$ quit

然后，使用traffic-filter命令将ACL规则应用到接口GigabitEthernet0/0/1的入流量中：

$huawei$ interface GigabitEthernet0/0/1

$huawei-GigabitEthernet0/0/1$ traffic-filter inbound acl-test

$huawei-GigabitEthernet0/0/1$ quit

2.traffic-secure的使用示例：

首先，创建一个名为sec-test的安全策略，并在其中配置一条检测并防范SYN Flood攻击的规则：

$huawei$ firewall policy 1 // 进入防火墙策略1的配置模式

$huawei-firewall-policy-1$ rule 1 permit source any destination any // 配置第1条规则，允许所有源地址和目的地址的流量通过

$huawei-firewall-policy-1$ rule 2 detect syn-flood // 配置第2条规则，检测SYN洪泛攻击

$huawei-firewall-policy-1$ quit

$huawei$ firewall defend policy sec-test // 进入防御策略sec-test的配置模式

$huawei-firewall-defend-sec-test$ quit

然后，使用traffic-secure命令将安全策略应用到接口GigabitEthernet0/0/1的入流量中：

$huawei$ interface GigabitEthernet0/0/1

$huawei-GigabitEthernet0/0/1$ traffic-secure detect-policy sec-test

$huawei-GigabitEthernet0/0/1$ quit

3.traffic-policy的使用示例：

首先，创建一个名为qos-test的QoS策略，并在其中配置一条优先处理视频流的规则：

$huawei$ qos car 1 cir 2000 cbs 8000 // 创建一个叫做1的CAR，设置CIR为2000kbps，CBS为8000Byte

$huawei$ qos car 2 cir 1000 cbs 4000 // 创建一个叫做2的CAR，设置CIR为1000kbps，CBS为4000Byte

$huawei$ traffic classifier cls1 // 创建一个叫做cls1的分类器

$huawei-classifier-cls1$ if-match ipv4 tos 0x10 // 如果匹配到IPv4数据包并且TOS字段的值为0x10，则匹配成功

$huawei-classifier-cls1$ quit

$huawei$ traffic behavior beh1 // 创建一个叫做beh1的行为

$huawei-behavior-beh1$ car cir 1 cbs 1 // 关联CAR 1，并设置CIR和CBS为1

$huawei-behavior-beh1$ queue cir 1 cbs 1 // 设置队列的CIR和CBS为1

$huawei-behavior-beh1$ quit

$huawei$ traffic policy qos-test // 创建一个叫做qos-test的流量策略

$huawei-trafficpolicy-qos-test$ classifier cls1 behavior beh1 // 将分类器cls1和行为beh1关联

$huawei-trafficpolicy-qos-test$ quit

然后，使用traffic-policy命令将QoS策略应用到接口GigabitEthernet0/0/1的出流量中：

$huawei$ interface GigabitEthernet0/0/1

$huawei-GigabitEthernet0/0/1$ traffic-policy qos-test outbound

$huawei-GigabitEthernet0/0/1$ quit