share-mode

在 H3C 交换机上应用 ACL 的 `share-mode` 模式，主要用于 节省 QoS 和 ACL 硬件资源，特别是在多个接口上应用相同的 ACL 规则进行报文过滤时。以下是其应用要点和配置方法：

---

核心作用：
资源共享：当在多个接口（位于同一单板或同一接口组）的相同方向（入向或出向）上应用同一个 ACL时，`share-mode` 使这些应用共享底层的一份硬件资源（如 TCAM entry）。而非共享模式下，每个接口的应用都会独占一份资源。
显著节省资源： 对于需要在大量接口上应用相同 ACL 的场景（如全局策略），能极大缓解 ACL 资源瓶颈。

---

应用场景： 多个二层/三层以太网接口、VLAN 接口需要在相同方向（入方向 `inbound` 或 出方向 `outbound`) 应用完全相同的 ACL 规则集进行报文过滤。
 设备 ACL 资源紧张，需要优化利用。

---

配置命令 (接口视图)：**
interface <interface-type> <interface-number> # 进入接口视图
packet-filter [ipv6 | mac | user-defined] {acl-number | name acl-name} {inbound | outbound} [hardware-count] share-mode
```

[ipv6 | mac | user-defined]： 指定 ACL 类型（IPv6 ACL / 二层 MAC ACL / 用户自定义 ACL）。不指定则默认为 IPv4 ACL。
{acl-number | name acl-name}： 指定 ACL 的编号或名称。
{inbound | outbound}：指定过滤方向。
share-mode：关键参数，启用共享模式。

注意：
 对于 入方向 (`inbound`)，默认使用共享模式，`share-mode` 关键字可省略。
 对于 出方向 (`outbound`), 必须显式指定 `share-mode` 关键字才能启用共享模式。
hardware-count` (可选)：开启该 ACL 所有规则的硬件匹配统计功能。

取消共享模式应用

undo packet-filter [ipv6 | mac | user-defined] {acl-number | name acl-name} {inbound | outbound}


---

关键使用限制和注意事项：
1.接口与方向：
适用于 二层以太网接口、三层以太网接口、VLAN 接口。
一个接口在一个方向的报文过滤（如 `inbound`）上，只能应用一个以 `share-mode` 模式生效的 ACL。但可以在同一个方向上同时应用不同类型（IPv4/IPv6/MAC/用户自定义）的共享和非共享 ACL。
不支持 VSI 接口的出方向（尤其是 SF 系列接口板）。
2. 资源分配与修改：
应用后不能动态修改资源共享模式。如需切换（共享 ↔ 非共享），必须先 `undo packet-filter` 删除当前应用，再重新应用新的模式。
资源不足时，需先 `undo`，再应用不包含 `hardware-count` 或 `share-mode` 的命令以释放资源。
3. 与其他功能的互斥：
* 在接口的同一个方向上，如果已用 `share-mode` 应用了 **QoS 策略 (`traffic-policy ... share-mode`) 或 策略路由 (`ip policy-based-route ... share-mode`) 不能再使用 `share-mode` 应用 ACL 进行报文过滤 (反之亦然)。普通模式则不互斥。
* ACL 规则中避免使用 `counting` 参数(用于规则统计)。虽然允许，但会为每个接口单独计数，削弱资源共享带来的节省效果。
4. 单板限制：
单板类型：对于 S12500G-AF/S12500CR 等特定系列，仅 SF/SG 系列接口板支持 `share-mode` 命令及其模式配置。
共享组数量限制：不同单板支持的 `share-mode` ACL 组数有限 (例如早期 F/H 系列单板入向最多支持 3 或 4 组)。
资源耗尽： 如果出现资源不足提示，需精简或合并 ACL 规则，或减少 `share-mode` 应用点。

---

配置示例：
场景：在 VLAN-interface 10、20、30 的入方向，以共享模式应用 IPv4 高级 ACL 3001 进行过滤。

# 创建 ACL 3001 (规则配置略)
system-view
acl advanced 3001
rule 0 permit ip...
quit

# 在 VLAN 接口上以共享模式 (inbound 默认共享，可省略 share-mode) 应用 ACL
interface Vlan-interface 10
packet-filter 3001 inbound # 入方向默认共享，无需显式写 share-mode
quit
interface Vlan-interface 20
packet-filter 3001 inbound
quit
interface Vlan-interface 30
packet-filter 3001 inbound
quit
```

场景：在端口 GigabitEthernet 1/0/1 和 1/0/2 的出方向，以共享模式应用名为 `BLOCK_DDOS` 的二层 ACL。

# 配置 ACL BLOCK_DDOS (略)

# 在物理接口出方向显式指定 share-mode
interface GigabitEthernet 1/0/1
packet-filter mac name BLOCK_DDOS outbound share-mode
quit
interface GigabitEthernet 1/0/2
packet-filter mac name BLOCK_DDOS outbound share-mode
quit
```

---

验证与监控：
查看接口 ACL 应用状态：
display packet-filter interface <interface-type> <interface-number>
```
查看详细的 ACL 规则匹配统计：
```
display packet-filter statistics interface <interface-type> <interface-number> [ [ ipv6 | mac | user-defined ] { acl-number | name acl-name } ] { inbound | outbound } [ brief ]
```
查看底层 QoS/ACL 资源使用情况 (关键资源验证)：
display qos-acl resource [ slot <slot-number> ]
```
输出中的 `Configured` 项会显示共享模式节省后的实际占用条数（通常远小于非共享模式的多点应用总和）。

---

总结：
`acl share-mode` 通过让多个接口共享同一份 ACL 硬件资源表项，有效解决了大规模部署时 ACL 资源耗尽的问题。配置的核心是：
1. `packet-filter ... share-mode` 在接口命令行指定共享模式；
2. 注意 `inbound` 方向默认共享、`outbound` 方向需显式指定的区别；
3. 严格遵守接口类型、互斥性、资源限制；
4. 结合 `display qos-acl resource`监控优化效果。合理运用此模式，能极大提升大型网络中的 ACL 部署能力。