设备型号版本:S6850-56HF Version 7.1.070, Release 6715
需求:把所有的规则写在一个acl里面,在vlan-int调用,可以使用share-mode模式吗?如果使用该模式,需要注意什么?
interface Vlan-interface4
packet-filter 3003 inbound share-mode
interface Vlan-interface5
packet-filter 3003 inbound share-mode
(0)
最佳答案
在 H3C 交换机上应用 ACL 的 `share-mode` 模式,主要用于 节省 QoS 和 ACL 硬件资源,特别是在多个接口上应用相同的 ACL 规则进行报文过滤时。以下是其应用要点和配置方法:
---
核心作用:
资源共享:当在多个接口(位于同一单板或同一接口组)的相同方向(入向或出向)上应用同一个 ACL时,`share-mode` 使这些应用共享底层的一份硬件资源(如 TCAM entry)。而非共享模式下,每个接口的应用都会独占一份资源。
显著节省资源: 对于需要在大量接口上应用相同 ACL 的场景(如全局策略),能极大缓解 ACL 资源瓶颈。
---
应用场景: 多个二层/三层以太网接口、VLAN 接口需要在相同方向(入方向 `inbound` 或 出方向 `outbound`) 应用完全相同的 ACL 规则集进行报文过滤。
设备 ACL 资源紧张,需要优化利用。
---
配置命令 (接口视图):**
interface <interface-type> <interface-number> # 进入接口视图
packet-filter [ipv6 | mac | user-defined] {acl-number | name acl-name} {inbound | outbound} [hardware-count] share-mode
```
[ipv6 | mac | user-defined]: 指定 ACL 类型(IPv6 ACL / 二层 MAC ACL / 用户自定义 ACL)。不指定则默认为 IPv4 ACL。
{acl-number | name acl-name}: 指定 ACL 的编号或名称。
{inbound | outbound}:指定过滤方向。
share-mode:关键参数,启用共享模式。
注意:
对于 入方向 (`inbound`),默认使用共享模式,`share-mode` 关键字可省略。
对于 出方向 (`outbound`), 必须显式指定 `share-mode` 关键字才能启用共享模式。
hardware-count` (可选):开启该 ACL 所有规则的硬件匹配统计功能。
取消共享模式应用
undo packet-filter [ipv6 | mac | user-defined] {acl-number | name acl-name} {inbound | outbound}
---
关键使用限制和注意事项:
1.接口与方向:
适用于 二层以太网接口、三层以太网接口、VLAN 接口。
一个接口在一个方向的报文过滤(如 `inbound`)上,只能应用一个以 `share-mode` 模式生效的 ACL。但可以在同一个方向上同时应用不同类型(IPv4/IPv6/MAC/用户自定义)的共享和非共享 ACL。
不支持 VSI 接口的出方向(尤其是 SF 系列接口板)。
2. 资源分配与修改:
应用后不能动态修改资源共享模式。如需切换(共享 ↔ 非共享),必须先 `undo packet-filter` 删除当前应用,再重新应用新的模式。
资源不足时,需先 `undo`,再应用不包含 `hardware-count` 或 `share-mode` 的命令以释放资源。
3. 与其他功能的互斥:
* 在接口的同一个方向上,如果已用 `share-mode` 应用了 **QoS 策略 (`traffic-policy ... share-mode`) 或 策略路由 (`ip policy-based-route ... share-mode`) 不能再使用 `share-mode` 应用 ACL 进行报文过滤 (反之亦然)。普通模式则不互斥。
* ACL 规则中避免使用 `counting` 参数(用于规则统计)。虽然允许,但会为每个接口单独计数,削弱资源共享带来的节省效果。
4. 单板限制:
单板类型:对于 S12500G-AF/S12500CR 等特定系列,仅 SF/SG 系列接口板支持 `share-mode` 命令及其模式配置。
共享组数量限制:不同单板支持的 `share-mode` ACL 组数有限 (例如早期 F/H 系列单板入向最多支持 3 或 4 组)。
资源耗尽: 如果出现资源不足提示,需精简或合并 ACL 规则,或减少 `share-mode` 应用点。
---
配置示例:
场景:在 VLAN-interface 10、20、30 的入方向,以共享模式应用 IPv4 高级 ACL 3001 进行过滤。
# 创建 ACL 3001 (规则配置略)
system-view
acl advanced 3001
rule 0 permit ip...
quit
# 在 VLAN 接口上以共享模式 (inbound 默认共享,可省略 share-mode) 应用 ACL
interface Vlan-interface 10
packet-filter 3001 inbound # 入方向默认共享,无需显式写 share-mode
quit
interface Vlan-interface 20
packet-filter 3001 inbound
quit
interface Vlan-interface 30
packet-filter 3001 inbound
quit
```
场景:在端口 GigabitEthernet 1/0/1 和 1/0/2 的出方向,以共享模式应用名为 `BLOCK_DDOS` 的二层 ACL。
# 配置 ACL BLOCK_DDOS (略)
# 在物理接口出方向显式指定 share-mode
interface GigabitEthernet 1/0/1
packet-filter mac name BLOCK_DDOS outbound share-mode
quit
interface GigabitEthernet 1/0/2
packet-filter mac name BLOCK_DDOS outbound share-mode
quit
```
---
验证与监控:
查看接口 ACL 应用状态:
display packet-filter interface <interface-type> <interface-number>
```
查看详细的 ACL 规则匹配统计:
```
display packet-filter statistics interface <interface-type> <interface-number> [ [ ipv6 | mac | user-defined ] { acl-number | name acl-name } ] { inbound | outbound } [ brief ]
```
查看底层 QoS/ACL 资源使用情况 (关键资源验证):
display qos-acl resource [ slot <slot-number> ]
```
输出中的 `Configured` 项会显示共享模式节省后的实际占用条数(通常远小于非共享模式的多点应用总和)。
---
总结:
`acl share-mode` 通过让多个接口共享同一份 ACL 硬件资源表项,有效解决了大规模部署时 ACL 资源耗尽的问题。配置的核心是:
1. `packet-filter ... share-mode` 在接口命令行指定共享模式;
2. 注意 `inbound` 方向默认共享、`outbound` 方向需显式指定的区别;
3. 严格遵守接口类型、互斥性、资源限制;
4. 结合 `display qos-acl resource`监控优化效果。合理运用此模式,能极大提升大型网络中的 ACL 部署能力。
(0)
hare-mode:对二层以太网接口和三层以太网接口应用ACL配置共享QoS和ACL资源模式的报文过滤。该模式下,同一设备接口出方向所有应用了相同QoS策略的接口共享一份QoS和ACL资源。同一设备接口入方向应用ACL配置报文过滤时,需要指定share-mode关键字,才能采用共享QoS和ACL资源模式。
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论