H3C S10500 交换机Portal 认证与ACL资源优化经验案例

H3C S10500 交换机Portal 认证与ACL资源优化经验案例

一、   组网：

用户使用我司S10500交换机作为网络核心设备并作为终端PC的网关设备。用户网络要求在网关设备上开启Portal认证。

二、   问题描述：

用户反馈早上上班认证高峰期的时候会出现部分用户portal 认证失败。具体表现为iNode上提示认证成功后马上提示“用户收到下线报文”，最终用户上线不成功。此时查看IMC 上记录的下线原因为NAS ERROR。

三、   过程分析：

通过现场反馈过来的设备diag 信息分析有以下发现：

1.设备上下发了大量的portal free-rule规则（一共46条free-rule）

#

portal server imc ip 222.24.19.190 key cipher

$c$3$Hb2xqShGrnKDKcEW4tT7dxfO4QJnBA== url

http://222.24.19.190:8080/portal

portal free-rule 1 source ip any destination ip 202.117.128.7 mask

255.255.255.255

portal free-rule 2 source ip any destination ip 222.24.19.25 mask

255.255.255.255

portal free-rule 3 source ip any destination ip 8.8.8.8 mask

255.255.255.255

……

portal free-rule 10 source ip any destination ip 222.24.19.190 mask

255.255.255.255

……

portal free-rule 100 source ip 222.24.24.224 mask 255.255.255.255

destination ip any

2.查看交换机的链路聚合配置，端口下trunk 所有的vlan 通过。

#

interface Bridge-Aggregation1

 port link-type trunk

 port trunk permit vlan all

#

3.查看portal 用户接入的单板acl资源利用率比较高（IFP）。

[S10500]display acl resource slot 7

 Interface:

   GE7/0/1 to GE7/0/24, XGE7/0/25 to XGE7/0/26

---------------------------------------------------------------------

 Type          Total       Reserved    Configured  Remaining   Usage

---------------------------------------------------------------------

 VFP ACL       2048        512         0           1536        25%

 IFP ACL       8192        3072        5022        98          98%

 IFP Meter     4096        1536        0           2560        37%

 IFP Counter   4096        1536        0           2560        37%

 EFP ACL       1024        0           0           1024        0%

 EFP Meter     512         0           0           512         0%

 EFP Counter   512         0           0           512         0%

注：portal会使用Double slice，Single slice有剩余也无法使用，因此Usage未满也会出现资源不足的情况。

4.通过display portal interface Vlan-interface查看接口portal状态状态是否正常。

举例：

display portal interface Vlan-interface 100

     Portal configuration of Vlan-interface100

     IPv4:

        Status: Portal enabled  //表示使能但未生效  

注：正常状态应为running，表示认证已生效，认证不能正常生效的原因一般为acl资源不足。

5.设备logbuffer中有提示acl资源达到上限的提示。

%Dec 30 11:40:24:227 2011 RA-S10508-V PORTAL/4/PORTAL_ACL_FAILURE: -Chassis=2-Slot=1; The number of ACLs on the device has reached the maximum.

注：由于版本差异75E、10500设备个别版本logbuffer中不一定有该提示。

6.查看故障时间点上交换机local logbuffer中存在大量的AclType=31的acl下发失败的记录。

Oct 08 2013 10:45:16:0076:

LINE:9994,File platform_bcm/drv/qacl/drv_qacl_adapt.c-TASK:PTMT-FUNC::

PoolEntry Install ..AllocFailed [ulUnit=0,AclType=31] Ret=11

或者会有如下格式的提示：

Dec 30 2011 09:56:31:0552:

LINE:978,File /root/home/w00235/d099sp59xr_r1135/platform_bcm/drv/qacl/drv_qacl_adapt.c-TASK:PTMT-FUNC::

GetGroupInstallMode NO_ENOUGH_HARDWARE_RESOURCE ,AclType 31, Stage 2,Prio_Mjr 516,Prio_Sub 4,ulRet 11

单独查看slot 7 槽位local logbuffer的方法为：

系统视图下en_diag进入diag视图，然后通过“local logbuffer 7 display numberid”来查看。Nummberid从零开始，依次加30 直到没有任何信息打印为止。   

通过以上信息可以清楚的定位portal认证失败的原因就是设备接入portal 用户的单板acl资源不足导致。

7.Portal资源计算（参考值）：

[单板ACL可用资源-A*2-B*2-C*2]/2 = 用户上线数

举例：设备共配置3条free-rule，共19个vlan使能portal认证，共有38个链路聚合口，每个链路聚合口permit一个使能portal的vlan。

A: 19+38=57

B: 19+38=57

C: 3+38*3=117

 

[6144-(A*2+B*2+C*2)]/2=[6144-57*2-57*2-117*2]/2=2841

 

四、   解决方法：

简单介绍下Portal的原理。设备一共存在4种常用的Portal ACL。

Portal类型      acl-type

Portal 1           30   

Portal 2           31    àpermit portal server、free-rule 、用户上线

Portal 3           32    àredirect http 80

Portal 4           33    àdeny ip

设备使能Portal会自动下发Portal 2、Portal 3、Portal 4规则来实现允许Portal Server的报文通过，重定向HTTP报文上CPU ，deny 没有通过认证的终端的普通报文。

可以按如下的思路优化设备配置，减少portal free-rule 规则占用的acl 数量，节省下来的acl资源可以用于用户上线。

1.优化portal free-rule规则。

对于portal free-rule 100 source ip 222.24.24.224 mask 255.255.255.255 destination ip any这条规则，应该配置为portal free-rule 100 source ip 222.24.24.224 mask 255.255.255.255 vlan 100 destination ip any 。

在配置free-rule 时尽可能配置vlan参数。配置前设备会在所有使能portal的vlan里下发该free-rule规则，携带vlan 参数后仅仅会在配置的vlan 中下发该free-rule规则。

2．取消放通Portal Server的相关free-rule规则

使能portal的时候是没有必要专门将portal server 放在free-rule里面的，使能portal 的时候设备会自动放行去往portal server的流量。因此portal free-rule 10是完全可以删除的。

3.优化链路聚合下允许的vlan配置

链路聚合端口为trunk 类型，端口下trunk permit vlan all 通过，其实这是不合理的。合理的配置应该为仅仅允许必要的vlan通过。假设每个接入交换机上终端都在一个业务vlan中，不同的接入交换机承载不同vlan中业务。此时应该将聚合口应该仅仅允许2个vlan 通过，一个是管理vlan 另一个就是接入交换机上对应的业务vlan。

原因为portal free-rule了规则虽然在配置的时候没有携带具体的槽位号及端口号，但是具体acl规则还是要下发的具体的芯片上。若某个芯片上不存在某个使能portal的vlan 则与这个vlan相关的portal 规则是不会在这个芯片上下发的。

Portal下发的很多规则是与vlan 相关的，通过优化聚合及端口下允许的vlan个数若能到达某个芯片上没有端口允许个别vlan 通过则可以大幅度减少acl的使用数量。

4.对于多芯片板卡的优化

对于48口设备或单板，拥有2颗芯片，分别属于前24口和后24口，将认证的业务端口均匀的分摊到2颗芯片上可充分利用单板资源，对于框式设备还可以将认证业务端口分摊在不同单板上。

5.优化安全隔离ACL

对于需要下发安全或者隔离ACL 的Portal用户，设备上配置的相关ACL不需要下发deny ip的规则。

6.扩充板卡

经过上述两个方法设备的acl资源仍无法满足用户需求的只能通过减少

free-rule数量或者扩充板卡来将portal用户分担到不通的单板上来彻底解决问题。