• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

share-mode

2025-07-18提问
  • 0关注
  • 0收藏,326浏览
粉丝:0人 关注:0人

问题描述:

设备型号版本:S6850-56HF  Version 7.1.070, Release 6715  
需求:把所有的规则写在一个acl里面,在vlan-int调用,可以使用share-mode模式吗?如果使用该模式,需要注意什么?
interface Vlan-interface4
   packet-filter 3003 inbound  share-mode
interface Vlan-interface5
  packet-filter 3003 inbound  share-mode


最佳答案

粉丝:40人 关注:6人

在 H3C 交换机上应用 ACL 的 `share-mode` 模式,主要用于 节省 QoS 和 ACL 硬件资源,特别是在多个接口上应用相同的 ACL 规则进行报文过滤时。以下是其应用要点和配置方法:

---

核心作用:
资源共享:当在多个接口(位于同一单板或同一接口组)的相同方向(入向或出向)上应用同一个 ACL时,`share-mode` 使这些应用共享底层的一份硬件资源(如 TCAM entry)。而非共享模式下,每个接口的应用都会独占一份资源。
显著节省资源: 对于需要在大量接口上应用相同 ACL 的场景(如全局策略),能极大缓解 ACL 资源瓶颈。

---

应用场景: 多个二层/三层以太网接口、VLAN 接口需要在相同方向(入方向 `inbound` 或 出方向 `outbound`) 应用完全相同的 ACL 规则集进行报文过滤。
 设备 ACL 资源紧张,需要优化利用。

---

配置命令 (接口视图):**
interface <interface-type> <interface-number> # 进入接口视图
packet-filter [ipv6 | mac | user-defined] {acl-number | name acl-name} {inbound | outbound} [hardware-count] share-mode
```

[ipv6 | mac | user-defined]: 指定 ACL 类型(IPv6 ACL / 二层 MAC ACL / 用户自定义 ACL)。不指定则默认为 IPv4 ACL。
{acl-number | name acl-name}: 指定 ACL 的编号或名称。
{inbound | outbound}:指定过滤方向。
share-mode:关键参数,启用共享模式。

注意:
 对于 入方向 (`inbound`),默认使用共享模式,`share-mode` 关键字可省略。
 对于 出方向 (`outbound`), 必须显式指定 `share-mode` 关键字才能启用共享模式。
hardware-count` (可选):开启该 ACL 所有规则的硬件匹配统计功能。

取消共享模式应用

undo packet-filter [ipv6 | mac | user-defined] {acl-number | name acl-name} {inbound | outbound}


---

关键使用限制和注意事项:
1.接口与方向:
适用于 二层以太网接口、三层以太网接口、VLAN 接口。
一个接口在一个方向的报文过滤(如 `inbound`)上,只能应用一个以 `share-mode` 模式生效的 ACL。但可以在同一个方向上同时应用不同类型(IPv4/IPv6/MAC/用户自定义)的共享和非共享 ACL。
不支持 VSI 接口的出方向(尤其是 SF 系列接口板)。
2. 资源分配与修改:
应用后不能动态修改资源共享模式。如需切换(共享 ↔ 非共享),必须先 `undo packet-filter` 删除当前应用,再重新应用新的模式。
资源不足时,需先 `undo`,再应用不包含 `hardware-count` 或 `share-mode` 的命令以释放资源。
3. 与其他功能的互斥:
* 在接口的同一个方向上,如果已用 `share-mode` 应用了 **QoS 策略 (`traffic-policy ... share-mode`) 或 策略路由 (`ip policy-based-route ... share-mode`) 不能再使用 `share-mode` 应用 ACL 进行报文过滤 (反之亦然)。普通模式则不互斥。
* ACL 规则中避免使用 `counting` 参数(用于规则统计)。虽然允许,但会为每个接口单独计数,削弱资源共享带来的节省效果。
4. 单板限制:
单板类型:对于 S12500G-AF/S12500CR 等特定系列,仅 SF/SG 系列接口板支持 `share-mode` 命令及其模式配置。
共享组数量限制:不同单板支持的 `share-mode` ACL 组数有限 (例如早期 F/H 系列单板入向最多支持 3 或 4 组)。
资源耗尽: 如果出现资源不足提示,需精简或合并 ACL 规则,或减少 `share-mode` 应用点。

---

配置示例:
场景:在 VLAN-interface 10、20、30 的入方向,以共享模式应用 IPv4 高级 ACL 3001 进行过滤。

# 创建 ACL 3001 (规则配置略)
system-view
acl advanced 3001
rule 0 permit ip...
quit

# 在 VLAN 接口上以共享模式 (inbound 默认共享,可省略 share-mode) 应用 ACL
interface Vlan-interface 10
packet-filter 3001 inbound # 入方向默认共享,无需显式写 share-mode
quit
interface Vlan-interface 20
packet-filter 3001 inbound
quit
interface Vlan-interface 30
packet-filter 3001 inbound
quit
```

场景:在端口 GigabitEthernet 1/0/1 和 1/0/2 的出方向,以共享模式应用名为 `BLOCK_DDOS` 的二层 ACL。

# 配置 ACL BLOCK_DDOS (略)

# 在物理接口出方向显式指定 share-mode
interface GigabitEthernet 1/0/1
packet-filter mac name BLOCK_DDOS outbound share-mode
quit
interface GigabitEthernet 1/0/2
packet-filter mac name BLOCK_DDOS outbound share-mode
quit
```

---

验证与监控:
查看接口 ACL 应用状态:
display packet-filter interface <interface-type> <interface-number>
```
查看详细的 ACL 规则匹配统计:
```
display packet-filter statistics interface <interface-type> <interface-number> [ [ ipv6 | mac | user-defined ] { acl-number | name acl-name } ] { inbound | outbound } [ brief ]
```
查看底层 QoS/ACL 资源使用情况 (关键资源验证):
display qos-acl resource [ slot <slot-number> ]
```
输出中的 `Configured` 项会显示共享模式节省后的实际占用条数(通常远小于非共享模式的多点应用总和)。

---

总结:
`acl share-mode` 通过让多个接口共享同一份 ACL 硬件资源表项,有效解决了大规模部署时 ACL 资源耗尽的问题。配置的核心是:
1. `packet-filter ... share-mode` 在接口命令行指定共享模式;
2. 注意 `inbound` 方向默认共享、`outbound` 方向需显式指定的区别;
3. 严格遵守接口类型、互斥性、资源限制;
4. 结合 `display qos-acl resource`监控优化效果。合理运用此模式,能极大提升大型网络中的 ACL 部署能力。




暂无评论

1 个回答
粉丝:116人 关注:9人

hare-mode:对二层以太网接口和三层以太网接口应用ACL配置共享QoS和ACL资源模式的报文过滤。该模式下,同一设备接口出方向所有应用了相同QoS策略的接口共享一份QoS和ACL资源。同一设备接口入方向应用ACL配置报文过滤时,需要指定share-mode关键字,才能采用共享QoS和ACL资源模式。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明