一、拓扑：

二、配置过程：

        1、配置 IP 地址，配置动态路由协议 OSPF

        2、AR2 上，配置高级 ACL，允许 ospf 流量、1 到 6、2 到 8、deny 所有

        3、写流分类，抓取流量特征

        4、写流行为，配置流量动作

        5、写流策略，绑定分类和行为

        6、把流策略应用到 AR2 的入接口方向，也可以应用到接口的出方向

三、详细配置：

acl number 3003  
 rule 0 permit ospf 
 rule 5 permit ip source 1.1.1.0 0.0.0.255 destination 6.6.6.0 0.0.0.255 
 rule 10 permit ip source 2.2.2.0 0.0.0.255 destination 8.8.8.0 0.0.0.255 
 rule 15 deny ip 
#
traffic classifier Z operator or
 if-match acl 3003
#
traffic behavior Z
 permit
 statistic enable
#
traffic policy Z
 classifier Z behavior Z
#
interface GigabitEthernet0/0/0
 ip address 10.1.12.2 255.255.255.0 
 traffic-policy Z inbound

        !!! ACL 是按顺序匹配，匹配到一条后自动离开，不会再匹配第二条，不用担心两条都匹配！

四、踩坑总结：

        第一次配了两个 ACL：第一个允许 1 到 6 Permit，deny 所有；第二个允许 2 到 8 permit，deny 所有，结果永远是只有一条可以匹配，另一条无法匹配全被拒绝，以为是 traffic policy 的排序问题，最后发现是 ACL 的问题：因为一个 ACL 无法同时匹配两个源地址的情况。在排错的时候还出现一个状况，如果 traffic policy 第一个写 classifier X behavior X，那么这个对应的 ACL 不要有 deny 语句，第二个写  classifier Y behavior Y，就可以正常运行，看下出错的配置：

acl number 3001  
 rule 0 permit ospf 
 rule 5 permit ip source 1.1.1.0 0.0.0.255 destination 6.6.6.0 0.0.0.255 
 rule 10 deny ip 
acl number 3002  
 rule 0 permit ospf 
 rule 5 permit ip source 2.2.2.0 0.0.0.255 destination 8.8.8.0 0.0.0.255 
 rule 10 deny ip 
#
traffic classifier X operator or
 if-match acl 3001
traffic classifier Y operator or
 if-match acl 3002
#
traffic behavior X    
 statistic enable    
 permit            #这个是默认行为，配了也不显示
traffic behavior Y
 statistic enable
 permit
#
traffic policy X
 classifier X behavior X
 classifier Y behavior Y
#

        所以真正实践才能发现技术的细节，真正落地才了解背后的运作逻辑，觉得简单而不做永远是纸上谈兵，感谢虫子和群里的大佬朋友！