H3C S10500 交换机Portal 认证与ACL资源优化经验案例
一、 组网:
用户使用我司S10500交换机作为网络核心设备并作为终端PC的网关设备。用户网络要求在网关设备上开启Portal认证。
二、 问题描述:
用户反馈早上上班认证高峰期的时候会出现部分用户portal 认证失败。具体表现为iNode上提示认证成功后马上提示“用户收到下线报文”,最终用户上线不成功。此时查看IMC 上记录的下线原因为NAS ERROR。
三、 过程分析:
通过现场反馈过来的设备diag 信息分析有以下发现:
1.设备上下发了大量的portal free-rule规则(一共46条free-rule)
#
portal server imc ip 222.24.19.190 key cipher
$c$3$Hb2xqShGrnKDKcEW4tT7dxfO4QJnBA== url
http://222.24.19.190:8080/portal
portal free-rule 1 source ip any destination ip 202.117.128.7 mask
255.255.255.255
portal free-rule 2 source ip any destination ip 222.24.19.25 mask
255.255.255.255
portal free-rule 3 source ip any destination ip 8.8.8.8 mask
255.255.255.255
……
portal free-rule 10 source ip any destination ip 222.24.19.190 mask
255.255.255.255
……
portal free-rule 100 source ip 222.24.24.224 mask 255.255.255.255
destination ip any
2.查看交换机的链路聚合配置,端口下trunk 所有的vlan 通过。
#
interface Bridge-Aggregation1
port link-type trunk
port trunk permit vlan all
#
3.查看portal 用户接入的单板acl资源利用率比较高(IFP)。
[S10500]display acl resource slot 7
Interface:
GE7/0/1 to GE7/0/24, XGE7/0/25 to XGE7/0/26
---------------------------------------------------------------------
Type Total Reserved Configured Remaining Usage
---------------------------------------------------------------------
VFP ACL 2048 512 0 1536 25%
IFP ACL 8192 3072 5022 98 98%
IFP Meter 4096 1536 0 2560 37%
IFP Counter 4096 1536 0 2560 37%
EFP ACL 1024 0 0 1024 0%
EFP Meter 512 0 0 512 0%
EFP Counter 512 0 0 512 0%
注:portal会使用Double slice,Single slice有剩余也无法使用,因此Usage未满也会出现资源不足的情况。
4.通过display portal interface Vlan-interface查看接口portal状态状态是否正常。
举例:
display portal interface Vlan-interface 100 Portal configuration of Vlan-interface100
IPv4:
Status: Portal enabled //表示使能但未生效
注:正常状态应为running,表示认证已生效,认证不能正常生效的原因一般为acl资源不足。
5.设备logbuffer中有提示acl资源达到上限的提示。
%Dec 30 11:40:24:227 2011 RA-S10508-V PORTAL/4/PORTAL_ACL_FAILURE: -Chassis=2-Slot=1; The number of ACLs on the device has reached the maximum.
注:由于版本差异75E、10500设备个别版本logbuffer中不一定有该提示。
6.查看故障时间点上交换机local logbuffer中存在大量的AclType=31的acl下发失败的记录。
Oct 08 2013 10:45:16:0076:
LINE:9994,File platform_bcm/drv/qacl/drv_qacl_adapt.c-TASK:PTMT-FUNC::
PoolEntry Install ..AllocFailed [ulUnit=0,AclType=31] Ret=11
或者会有如下格式的提示:
Dec 30 2011 09:56:31:0552:
LINE:978,File /root/home/w00235/d099sp59xr_r1135/platform_bcm/drv/qacl/drv_qacl_adapt.c-TASK:PTMT-FUNC::
GetGroupInstallMode NO_ENOUGH_HARDWARE_RESOURCE ,AclType 31, Stage 2,Prio_Mjr 516,Prio_Sub 4,ulRet 11
单独查看slot 7 槽位local logbuffer的方法为:
系统视图下en_diag进入diag视图,然后通过“local logbuffer 7 display numberid”来查看。Nummberid从零开始,依次加30 直到没有任何信息打印为止。
通过以上信息可以清楚的定位portal认证失败的原因就是设备接入portal 用户的单板acl资源不足导致。
7.Portal资源计算(参考值):
[单板ACL可用资源-A*2-B*2-C*2]/2 = 用户上线数
举例:设备共配置3条free-rule,共19个vlan使能portal认证,共有38个链路聚合口,每个链路聚合口permit一个使能portal的vlan。
A: 19+38=57
B: 19+38=57
C: 3+38*3=117
[6144-(A*2+B*2+C*2)]/2=[6144-57*2-57*2-117*2]/2=2841
四、 解决方法:
简单介绍下Portal的原理。设备一共存在4种常用的Portal ACL。
Portal类型 acl-type
Portal 1 30
Portal 2 31 àpermit portal server、free-rule 、用户上线
Portal 3 32 àredirect http 80
Portal 4 33 àdeny ip
设备使能Portal会自动下发Portal 2、Portal 3、Portal 4规则来实现允许Portal Server的报文通过,重定向HTTP报文上CPU ,deny 没有通过认证的终端的普通报文。
可以按如下的思路优化设备配置,减少portal free-rule 规则占用的acl 数量,节省下来的acl资源可以用于用户上线。
1.优化portal free-rule规则。
对于portal free-rule 100 source ip 222.24.24.224 mask 255.255.255.255 destination ip any这条规则,应该配置为portal free-rule 100 source ip 222.24.24.224 mask 255.255.255.255 vlan 100 destination ip any 。
在配置free-rule 时尽可能配置vlan参数。配置前设备会在所有使能portal的vlan里下发该free-rule规则,携带vlan 参数后仅仅会在配置的vlan 中下发该free-rule规则。
2.取消放通Portal Server的相关free-rule规则
使能portal的时候是没有必要专门将portal server 放在free-rule里面的,使能portal 的时候设备会自动放行去往portal server的流量。因此portal free-rule 10是完全可以删除的。
3.优化链路聚合下允许的vlan配置
链路聚合端口为trunk 类型,端口下trunk permit vlan all 通过,其实这是不合理的。合理的配置应该为仅仅允许必要的vlan通过。假设每个接入交换机上终端都在一个业务vlan中,不同的接入交换机承载不同vlan中业务。此时应该将聚合口应该仅仅允许2个vlan 通过,一个是管理vlan 另一个就是接入交换机上对应的业务vlan。
原因为portal free-rule了规则虽然在配置的时候没有携带具体的槽位号及端口号,但是具体acl规则还是要下发的具体的芯片上。若某个芯片上不存在某个使能portal的vlan 则与这个vlan相关的portal 规则是不会在这个芯片上下发的。
Portal下发的很多规则是与vlan 相关的,通过优化聚合及端口下允许的vlan个数若能到达某个芯片上没有端口允许个别vlan 通过则可以大幅度减少acl的使用数量。
4.对于多芯片板卡的优化
对于48口设备或单板,拥有2颗芯片,分别属于前24口和后24口,将认证的业务端口均匀的分摊到2颗芯片上可充分利用单板资源,对于框式设备还可以将认证业务端口分摊在不同单板上。
5.优化安全隔离ACL
对于需要下发安全或者隔离ACL 的Portal用户,设备上配置的相关ACL不需要下发deny ip的规则。
6.扩充板卡
经过上述两个方法设备的acl资源仍无法满足用户需求的只能通过减少
free-rule数量或者扩充板卡来将portal用户分担到不通的单板上来彻底解决问题。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作