部分用户portal认证,提示portal资源不足:
%@17599406%Jun 23 10:09:44:216 2025 H3C PORTAL/4/RULE: -Slot=1; Not enough resources.
%@17599559%Jun 23 10:09:57:248 2025 H3C PORTAL/4/RULE: -Slot=1; Not enough resources.
%@17599560%Jun 23 10:09:57:370 2025 H3C PORTAL/4/RULE: -Slot=1; Not enough resources.
设备slot1使用SC单板,该单板ACL资源规格较小,因此报资源不足,需要优化
===============display device verbose===============
Slot Brd Type Status Subslot Sft Ver Patch Ver
0 LSQM1TGS24FD0 Normal 0 S7500X-7642P02 None
1 LSQM2GT24PTSSC0 Normal 0 S7500X-7642P02 None
2 NONE Absent 0 NONE None
3 LSQM1SRP4Y06A0 Master 0 S7500X-7642P02 None
4 LSQM1SRP4Y06A0 Standby 0 S7500X-7642P02 None
5 NONE Absent 0 NONE None
6 NONE Absent 0 NONE None
7 NONE Absent 0 NONE None
1.优化free rule,源地址可指定vlan下发。不指定的话所有vlan都会下发,资源占用过多
portal free-rule 7 source ip x.x.x.x 255.255.255.255 destination ip any
portal free-rule 8 source ip x.x.x.x 255.255.255.255 destination ip any
【举例】
# 配置一条基于IPv4地址的Portal免认证规则:编号为1、源地址为10.10.10.1/24、目的地址为20.20.20.1、目的TCP端口号为23、生效接口为Vlan-interface1。该规则表示在Vlan-interface1接口上,10.10.10.1/24网段地址的用户不需要经过Portal认证即可以访问地址为20.20.20.1的主机在TCP端口23上提供的服务。
<Sysname> system-view
[Sysname] portal free-rule 1 destination ip 20.20.20.1 32 tcp 23 source ip 10.10.10.1 24 interface vlan-interface 1
2.查看设备acl下发,当前仅有一个slice 10可用,但是portal是double模式,所以slice资源不够了。包过滤不用的话可考虑去掉,去掉的话空出来的slice10和11还可以继续给portal用。
Acl Hw Resource: IFP, Pipe:0
------------------------------------------------------
Pri 9, Group 6,usedEntries 23 ,mode Double, physlice 12/13/
===================================================
acl type usedEntries[23]
===================================================
[157]PDT LOW INITIAL 1
[415]LLDP DENY LOW 4
[23 ]RX Low 16
[25 ]Super_RX Low 1
[27 ]TCP_RX_MISS_LOWEST 1
================================================
------------------------------------------------------
Pri 11, Group 5,usedEntries 1230,mode Double, physlice 0/1/2/3/4/5/6/7/8/9/
===================================================
acl type usedEntries[1230]
===================================================
[35 ]Portal Free 510
[36 ]Portal User 689
[37 ]Portal Redirect 20
[38 ]Portal UnknownIpToCpu 1
[41 ]Portal Deny 10
================================================
------------------------------------------------------
Pri 13, Group 4,usedEntries 6 ,mode Single, physlice 11/
===================================================
acl type usedEntries[6]
===================================================
[109]PktFilter IP on VRF 6
================================================
------------------------------------------------------
Pri 14, Group 1,usedEntries 66 ,mode Double, physlice 14/15/
===================================================
acl type usedEntries[66]
===================================================
[156]PDT HIGH INITIAL 1
[100]STMVLAN_PERMIT 2
[101]STM_DENYALL 1
[7 ]RX IPv4 Super High 2
[8 ]RX IPv4 High 12
[9 ]RX IPv4 Middle High 5
[10 ]RX IPv4 Middle 29
[13 ]RX IPv6 High 8
[14 ]RX IPv6 Middle_High 1
[15 ]RX IPv6 Middle 3
[70 ]Zero-Mac-Deny 1
[438]IP TO ME DEFAULT 1
================================================
3.如果后续用户很多,可以考虑使用portal direct shared模式,用户放通acl可共用节省资源
portal [ ipv6 ] enable命令用来开启Portal认证功能,并指定认证方式。
undo portal [ ipv6 ] enable命令用来关闭Portal认证功能。
【命令】
portal enable method { { direct [ shared ] | layer3 } [ ip-trigger [ acl acl-number ] ] | redhcp [ shared ] }
portal ipv6 enable method { direct [ shared ] | layer3 } [ ip-trigger [ acl acl-number ] ]
undo portal [ ipv6 ] enable
【缺省情况】
Portal认证功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv6:表示IPv6 Portal认证。若不指定该参数,则表示IPv4 Portal认证。
method:认证方式。
· direct:直接认证方式。
· direct shared:直接认证的共享模式方式。
· layer3:可跨三层认证方式。
· redhcp:二次地址分配认证方式。
· redhcp shared:二次地址分配认证的共享模式方式。
ip-trigger[ acl acl-number ]:基于IP地址的快速认证方式。acl acl-number指定用于匹配基于IP地址的快速认证功能用户数据流量的ACL,取值范围为2000~3999。如果不指定acl参数,则表示该接口下所有的基于IP地址的快速认证方式的用户数据流量均能触发Portal认证流程。
其中:
· 基本ACL,acl-number取值范围为2000~2999;
· 高级ACL,acl-number取值范围为3000~3999。
按上述方法进行ACL优化
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作