问题描述:
ACL大多应用在vlan下
处理删减一部分acl来解决 是否还有其他办法解决?
如:同一acl应用在多个vlan导致条目过多,如果把acl按vlan相关地址的条目来拆分开,并分别再新建acl应用在各个vlan。是否能解决利用率过高的问题?
- 2025-03-06提问
- 举报
-
(0)
最佳答案
您好,S7506E交换机ACL资源使用率过高解决方案
1.合并ACL规则,减少规则数量
合并相似规则:检查现有的ACL规则,合并那些具有相似匹配条件的规则。例如,如果多个规则都匹配相同的源IP地址范围和目的IP地址范围,可以将它们合并成一条规则。
使用范围匹配:对于端口号等连续范围的匹配,使用range关键字来合并规则。例如,将多个匹配不同端口号的规则合并成一条规则,使用destination-port range来指定端口范围。
2. 调整业务应用范围,减少业务应用位置的数量
将应用在接口的业务调整至VLAN:如果应用流策略的接口数量大于这些接口所属VLAN的数量,且未应用流策略的接口均不属于这些VLAN,则可以将流策略应用到这些接口所属的VLAN下。这样可以减少ACL资源的占用数量。
将应用在接口的业务调整至全局:如果业务可以全局应用,而不是在每个接口上单独应用,可以将流策略应用到全局。这样可以减少ACL资源的占用数量。
3. 配置基于流ID的流策略
重标记流ID:配置ACL规则,并通过remark flow-id命令重新标记报文的流ID。然后,配置流策略,绑定已配置的流行为和流分类,并应用到全局。
按流ID分类:配置流分类,通过if-match flow-id命令对报文进行分类,并对匹配同一流ID的报文进行相同的处理。
4. 优化网络策略
简化ACL规则:减少不必要的ACL规则,避免冗余的匹配条件。
使用更高效的匹配条件:使用更高效的匹配条件,例如使用IP地址范围而不是具体的IP地址,以减少规则的复杂度。
5. 监控和管理ACL资源
定期检查ACL资源使用情况:使用命令如display acl来监控ACL资源的使用情况,及时发现和解决资源不足的问题。
删除不必要的ACL配置:定期清理不再使用的ACL配置,释放资源。
示例配置
方法一:合并rule规则,减少rule规则数量
#
acl number 3000
rule 1 permit ip source 10.1.1.0 0.0.0.255 destination 10.10.1.1 0
rule 2 permit ip source 10.1.2.0 0.0.0.255 destination 10.10.1.1 0
...
rule 801 deny tcp destination-port range 80 110
...
rule 1000 ip source 192.168.10.1 32
#
traffic classifier c1 operator and precedence 5
if-match acl 3000
#
traffic behavior b1
permit
statistic enable
#
traffic policy p1 match-order config
classifier c1 behavior b1
#
方法二:调整业务应用范围,减少业务应用位置的数量
#
acl number 3000
rule 1 permit ip source 10.1.1.0 0.0.0.255 destination 10.10.1.1 0
rule 2 permit ip source 10.1.2.0 0.0.0.255 destination 10.10.1.1 0
...
rule 801 deny tcp destination-port range 80 110
...
rule 1000 ip source 192.168.10.1 32
#
traffic classifier c1 operator and precedence 5
if-match acl 3000
#
traffic behavior b1
permit
statistic enable
#
traffic policy p1 match-order config
classifier c1 behavior b1
#
vlan 10
traffic-policy p1 inbound
#
vlan 20
traffic-policy p1 inbound
#
方法三:配置基于流ID的流策略
#
acl number 3000
rule 1 permit ip source 10.1.1.0 0.0.0.255 destination 10.10.1.1 0
rule 2 permit ip source 10.1.2.0 0.0.0.255 destination 10.10.1.1 0
...
rule 801 deny tcp destination-port range 80 110
...
rule 1000 ip source 192.168.10.1 32
#
traffic classifier c1 operator and precedence 5
if-match acl 3000
#
traffic behavior b3
remark flow-id 4
#
traffic policy p3 match-order config
classifier c1 behavior b3
#
traffic-policy p3 global inbound
#
traffic classifier c3 operator and precedence 10
if-match flow-id 4
#
traffic behavior b1
permit
statistic enable
#
traffic policy p1 match-order config
classifier c3 behavior b1
#
interface GigabitEthernet1/0/1
traffic-policy p1 inbound
#
interface GigabitEthernet1/0/2
traffic-policy p1 inbound
#
interface GigabitEthernet1/0/3
traffic-policy p1 inbound
#
interface GigabitEthernet1/0/4
traffic-policy p1 inbound
#
- 2025-03-06回答
- 评论(0)
- 举报
-
(0)
ACL占用资源可以参考下,然后对应调整一下:
7500E支持通过MQC方式来下发ACL,下发ACL均会占用一定的ACL资源,可以通过命令display acl resource查看下发ACL所占用资源的情况。
<7500E>display acl resource
Interface:
GE3/0/1 to GE3/0/24
--------------------------------------------------------------------------------
Type Total Reserved Configured Remaining
--------------------------------------------------------------------------------
VFP ACL 1024 0 0 1024
IFP ACL 4096 1024 0 3072
IFP Meter 2048 512 0 1536
IFP Counter 2048 512 0 1536
EFP ACL 512 0 0 512
EFP Meter 256 0 0 256
EFP Counter 512 0 0 512
从以上信息可以看出,ACL占用的资源包括以下几种,他们表示的含义如下:
ACL : 表示ACL 规则资源
Meter :表示流量监管资源
Counter :表示流量统计资源
IFP :表示入方向的资源数目
EFP :表示出方向的资源数目
VFP :表示二层转发前的,应用于QinQ 功能的资源数目
其中,系统占用的资源会显示在Reserved或Configured中(版本不同,显示不同),而这一部分资源是不可使用的。对于SC单板,IFP硬件资源数量总共是4K, 系统保留的1K左右,可以使用的acl资源数量是3072条左右。对于SA单板,IFP硬件资源数量每芯片1K, 系统保留的是512条,可以使用的acl资源数量是512条左右。
对于7500E以MQC方式下发ACL对资源具体占用情况说明如下:
(1)所有出方向的MQC(ACL,QoS),下发在EFP中;
(2)所有入方向放入的端口、VLAN MQC(ACL,QoS),下发在IFP中;
(3)VFP预留给VLAN Mapping 、灵活QinQ、MAC-BASED-VLAN;
(4)对于基于MQC方式下下发的ACL生效顺序依次为:协议收包——端口下发的MQC——VLAN下发的MQC——全局下发的MQC——VOICE VLAN——端口绑定——EAD——PORTAL——低优先级协议收包。
(5)在VLan下发 ACL,相同的policy在不同的vlan下发,资源占用数为vlan数×ACL的rule数;
(6)在全局下发ACL,一般情况下每条rule只占用一条ACL资源表项(入方向占用IFP表,出方向占用EFP表项);
(7)相同的policy在端口、vlan和全局多次下发,会占用多份ACL资源;
(8)当同时下发基于vlan的policy与基于端口的policy且vlan与端口之间有包含关系时,会重复占用ACL资源;当下发了基于vlan或基于端口的policy时,再下发全局policy也会重复占用资源。
(9)ACL中有四层端口操作符时,如果ACL中匹配端口号是大于(gt)、小于(lt)或者范围(range),会占用另外一种表项资源,称为端口范围表(和IFP/EFP不同),这个表项一共有16条可以共用。如果只是等于(eq),则不需要使用这种表项。所以定义的端口范围的种类不能超过16种;
(10)下发ACL的TCP端口定义范围可能有三种:
匹配源端口号
匹配目的端口号
匹配端口范围
如果下发的ACL定义中只有上面定义组合中的两种,每条子rule占用一条ACL资源,如果三种都有则占用两条ACL资源(入方向占用IFP表,出方向占用EFP表项);
MQC方式下发ACL的一般原则:
(1)尽量在设备的入方向上下发策略,因为出方向的ACL资源比较少;
(2)相同的ACL 策略尽量在全局下或者端口下下发;
在VLAN下发时,二层(VLAN)信息和三层(SIP/DIP/L4SRC/L4DST/L4RANGE)信息混合匹配,这种情况下需要扩展匹配能力,会耗费更多ACL,改为端口下发和全局下发只需要三层匹配基本匹配能力即可,可以节省ACL资源,并且不同的端口还可以共用相同的硬件资源。
(3)避免相同的ACL策略在端口、vlan和全局多处下发,多处下发会占用多份ACL资源但最终生效的顺序为端口 > vlan > 全局;
(4)尽量避免不同的policy引用相同的ACL,并且在不同的端口、不同vlan下发或者在端口、vlan、全局混合下发,这样都会出现相同的ACL占了的多份ACL资源;
(5)尽量避免使用四层端口操作符gt、lt和range,因为端口范围资源表项比较少,同时如果混合使用了匹配源端口、目的端口和范围三种匹配端口方式会增加ACL资源占用。
另外,除了通过MQC方式直接下发acl之外,端口绑定(user-bind)、Free-rule等也会占用acl的资源;端口绑定会占用入方向的258条资源,在同一芯片的其它端口下发绑定项不会重复占用资源。
多个物理端口,调用同一个acl,只占用一份acl资源;
2)对于outbound方向,同一个芯片下的物理端口,调用同一个acl,一个物理端口占用一份,多个物理多个占用多份;
- 2025-03-06回答
- 评论(0)
- 举报
-
(0)
你好,可以解决
关于ACL资源不足的问题,以下是排查要点,请参考:
1、可以优化下ACL的策略,比如本来在一个子网内,可帮到同一个子网内的规则中。
2、同时看下哪些ACL是不用的,可以删掉来节约资源。
3、关于ACL绑定策略路由后不按规划走的问题,可以检查下ACL是否已绑定正确。同时将策略路由应用到业务VLAN的网关下后再测试。
- 2025-03-06回答
- 评论(2)
- 举报
-
(0)
why?
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明