某局点S12504-S 调用端口range包过滤失败的经验案例
- 0关注
- 0收藏 1792浏览
组网及说明
null
问题描述
现场查看某一接口下调用的包过滤ACL 状态为Failed失败,然后端口重新配置调用时报资源不足。
过程分析
1、接口下调用包过滤:
interface HundredGigE5/0/1
port link-mode route
ip address 10.xx.xxx.7 255.255.255.252
packet-filter 3108 inbound hardware-count
packet-filter 3106 outbound
查看调用失败的acl情况:
2、
5、查看底层slice资源与acl资源充足:
====debug port mapping chassis 0 slot 5====
[Interface] [Unit] [Port] [Name] [Combo?] [Active?] [IfIndex] [MID] [Link]
===============================================================================
HGE5/0/1 2 5 ce0 no no 0x1e6 15 up
HGE5/0/2 1 5 ce0 no no 0x1e7 14 down
====debug qacl show acl-resc slot 5 chip 2====
---------------Qacl Group UsedResc Info---------------
Acl Hw Resource: VFP, Pipe:0
------------------------------------------------------
Pri 1, Group 4,usedEntries 2 ,mode Single, physlice 1/
=========================================
acl type usedEntries[2]
=========================================
[111]VFP HIGH 2
======================================
------------------------------------------------------
Pri 2, Group 3,usedEntries 18 ,mode Single, physlice 2/
=========================================
acl type usedEntries[18]
=========================================
[107]Pdt VFP FirstNh2Classid 18
======================================
------------------------------------------------------
Pri 3, Group 2,usedEntries 1 ,mode Single, physlice 3/
=========================================
acl type usedEntries[1]
=========================================
[91 ]STMVLAN_PERMIT 1
======================================
------------------------------------------------------
Acl Hw Resource: EFP, Pipe:0
------------------------------------------------------
Pri 3, Group 8,usedEntries 130,mode Single, physlice 3/
=========================================
acl type usedEntries[130]
=========================================
[123]PktFilter IPV4 on RPORT 119
[100]PktFilter IP on VRF 11
======================================
------------------------------------------------------
Acl Hw Resource: IFP, Pipe:0
------------------------------------------------------
Pri 8, Group 6,usedEntries 23 ,mode Double, physlice 6/7/
=========================================
acl type usedEntries[23]
=========================================
[148]PDT LOW INITIAL 1
[23 ]RX Low 14
[25 ]Super_RX Low 3
[89 ]RX PRIO LLOW 4
[27 ]TCP_RX_MISS_LOWEST 1
======================================
------------------------------------------------------
Pri 10, Group 7,usedEntries 10 ,mode Double, physlice 8/9/
=========================================
acl type usedEntries[10]
=========================================
[125]MPLS Vpn High 4
[126]MPLS Vpn Middle 6
======================================
------------------------------------------------------
Pri 12, Group 5,usedEntries 515,mode Double, physlice 10/11/12/13/
=========================================
acl type usedEntries[515]
=========================================
[123]PktFilter IPV4 on RPORT 450
[100]PktFilter IP on VRF 65
======================================
------------------------------------------------------
Pri 14, Group 1,usedEntries 75 ,mode Double, physlice 14/15/
=========================================
acl type usedEntries[75]
=========================================
[147]PDT HIGH INITIAL 1
[91 ]STMVLAN_PERMIT 2
[92 ]STM_DENYALL 1
[7 ]RX IPv4 Super High 2
[8 ]RX IPv4 High 18
[9 ]RX IPv4 Middle High 7
[10 ]RX IPv4 Middle 28
[13 ]RX IPv6 High 9
[14 ]RX IPv6 Middle_High 3
[15 ]RX IPv6 Middle 3
[64 ]Zero-Mac-Deny 1
======================================
------------------------------------------------------
Acl Hw Resource: EXTERNAL, Pipe:0
------------------------------------------------------
ACL ext mode: disable
Acl Group RollBack Info Begin
Acl Group RollBack Info : VFP, Pipe 0
=====================================
GID PRI MODE SliceBitmap
-------------------------------------
4 1 Single 0x0002
3 2 Single 0x0004
2 3 Single 0x0008
------------------------------------------------------
Acl Hw Resource: VFP, Pipe 0
======================================
entrynum counternum meternum
total : 2048 0 0
total-reserved : 1536 0 0
used-reserved : 21 0 0
used-useracl : 0 0 0
free-useracl : 512 0 0
======================================
------------------------------------------------------
Acl Group RollBack Info : EFP, Pipe 0
=====================================
GID PRI MODE SliceBitmap
-------------------------------------
8 3 Single 0x0008
------------------------------------------------------
Acl Hw Resource: EFP, Pipe 0
======================================
entrynum counternum meternum
total : 1024 512 512
total-reserved : 0 0 0
used-reserved : 0 0 0
used-useracl : 130 0 0
free-useracl : 894 512 512
======================================
------------------------------------------------------
Acl Group RollBack Info : IFP, Pipe 0
=====================================
GID PRI MODE SliceBitmap
-------------------------------------
6 8 Double 0x00c0
7 10 Double 0x0300
5 12 Double 0x3000
1 14 Double 0xc000
------------------------------------------------------
Acl Hw Resource: IFP, Pipe 0
======================================
entrynum counternum meternum
total : 8192 4096 4096
total-reserved : 3072 1536 1536
used-reserved : 216 103 79
used-useracl : 1030 450 0
free-useracl : 4090 2110 2560
======================================
------------------------------------------------------
Acl Group RollBack Info : EXTERNAL, Pipe 0
=====================================
GID PRI MODE SliceBitmap
-------------------------------------
------------------------------------------------------
Acl Hw Resource: EXTERNAL, Pipe 0
======================================
entrynum counternum meternum
total : 0 0 0
total-reserved : 0 0 0
used-reserved : 0 0 0
used-useracl : 0 0 0
free-useracl : 0 0 0
======================================
6、后续确认到当前设备入方向匹配的端口号范围太多,底层的range资源不足,底层range资源总共32个,系统默认用两个,用户可用30个。rule里面source-port range一样的话共用一个,destination-port range一样的话也共用一个;source-port range与destination-port range各自单独占用, range范围一样的话也不会共用。
现场设备的配置中,经计算,只acl 3108需要31个资源,就已经不够了。
range资源是底层ACL规则中匹配用的,像如下入方向rule,底层使用了RangeID 11/12两个资源,以实现范围的匹配:
[H3C.9-probe]dis acl 3333
Advanced IPv4 ACL 3333, 1 rule,
ACL"s step is 5, start ID is 0
rule 0 permit tcp source 1.1.1.1 0 destination 2.2.2.2 0 source-port range 1000 2000 destination-port range 3000 4000
[H3C.9-probe]debug qacl show ch 1 sl 2 ch 0 ver 0
========
Acl-Type PktFilter IP on VRF, Stage IFP, Pipe 0, OuterPort, Installed, Active
Prio Mjr/Sub 523/771686399, Group 8 [8], Slice/Idx 2/0, Entry 323, Double: 2048/3072
ACL GroupNo : 3333, RuleID : 0
Rule Match --------
Ports: 0x0000000000000fffffe; 0x6000000001e23ffffff
Lookup: STP forwarding, L2 dst L3 bit[y], 0x118, 0x118
Outer Vlan: 0xa, 0xfff
Source IP: 1.1.1.1, 255.255.255.255
Dest IP: 2.2.2.2, 255.255.255.255
IP protocol: tcp
IP Type: Any IPv4 packet
L4 Source Port RangeID: 11, 1000 - 2000
L4 Dest Port RangeID: 12, 3000 - 4000
Actions --------
Permit
优化建议:一些端口号范围小的,建议通过eq的方式写成等价的多条,减少range资源的使用;也可以修改下发到出方向,或其他设备上实现。
新版本配置inbound-portrange-enhanced后,入方向rule匹配端口号范围时,不再使用range资源,就像出方向一样,底层按照端口号掩码,将rule拆分成等价的多条rule下发。
设备哪些slice是系统预留使用,可以通过debug qacl show acl-resc命令查。
解决方法
对于一些端口号范围小的acl,建议通过eq的方式写成等价的多条,减少range资源的使用;也可以修改下发到出方向,或其他设备上实现。也可以升级到当前官网最新的R7596P09版本优化。
该案例暂时没有网友评论
编辑评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作