阐述推荐配置CPU防攻击特性的黑名单功能，进行用户访问限制，而不是通过配置流策略限制用户访问。这是因为华为S系列交换机具有CPCAR功能，其中部分华为系列交换机的CPCAR功能优先级高于流策略。因此，无法通过配置流策略丢弃上送交换机CPU的报文。在某种应用场景下，导致用户在交换机上配置流策略后仍然可以访问交换机。探讨无法通过流策略限制用户访问的现象描述和故障原因，并给出了相应的解决办法。

• 单位
  中国人民解放军63850部队