设备Portal认证经验总结

设备Portal认证经验总结

 

Portal认证ACL资源不足的优化方法、计算方法和判断方法

一、    Portal优化方法：

 

（1）portal free-rule 尽量控制在5条以内，最多不要超过10条。Free-rule数量直接影响到最终上线人数，建议在网络地址规划时将公共区（认证前可访问的目的区域）划分到一个网段中，这样可以最大化精简free-rule数量。

 

（2）portal free-rule 放通某些源网段的时候一定要加上vlan参数，可节约硬件表项资源（增加vlan参数前设备会在所有使能portal的vlan里下发该free-rule规则，增加vlan 参数后只会在相应的vlan中下发该free-rule规则）。

 

（3）trunk端口不要permit vlan all，需要写明具体permit的vlan id。这样在端口上只会针对这些permit的vlan下发ACL，否则这个端口会对所有使能portal的vlan下发ACL，浪费了硬件资源。

 

（4）对于48口设备或单板，拥有2颗芯片，分别属于前24口和后24口，将认证的业务端口均匀的分摊到2颗芯片上可充分利用单板资源，对于框式设备还可以将认证业务端口分摊在不同单板上。

 

（5）4k ACL的单板或设备（例如SC单板或S5500EI）默认每芯片最大1500人。8k ACL的单板或设备（例如SD单板或S5800）默认每芯片最大3000人。

 

（6）聚合端口做portal认证要比非聚合口做portal认证消耗更多的资源，因此在聚合组网或IRF+聚合组网中推荐用8k IFP ACL的单板或设备。

 

二、    Portal资源计算（参考值）：

 

计算公式：[单板ACL可用资源-A*2-B*2-C*2]/2 = 用户上线数

 

举例：设备共配置3条free-rule，共19个vlan使能portal认证，共有38个链路聚合口，每个链路聚合口permit 1个使能portal的vlan。

 

A: 19+38*1=57

 

B: 19+38*1=57

 

C: 3+38*3=117

 

[6144-A*2-B*2-C*2)]/2=[6144-57*2-57*2-117*2]/2=2841  即最大上线人数为2841人

 

注释：单板ACL可用资源通过display acl resource查看IFP ACL项的Remaining值。

 

三、    Portal资源不足判断（满足下面的一个或多个）

 

（1）通过display acl resource查看IFP使用率Usage是否偏高：

 [H3C]display acl resource

   Type          Total       Reserved    Configured  Remaining   Usage

   IFP ACL       8192        3072        3593        1527        81%

  //注：portal会使用Double slice，Single slice有剩余也无法使用，因此Usage未满也会出现资源不足的情况。

 

（2）通过display portal interface Vlan-interface查看接口portal状态状态：

 [H3C]display portal interface Vlan-interface 100

   Portal configuration of Vlan-interface100

   IPv4:

      Status: Portal enabled  //表示使能但未生效

  //注：正常状态应为running，表示认证已生效

 

（3）日志中会有ACL达到上限的记录：

  [H3C]display logbuffer

  %Dec 30 11:40:24:227 2011 RA-S10508-V PORTAL/4/PORTAL_ACL_FAILURE: -Chassis=2-Slot=1; The number of ACLs on the device has reached the maximum.

 

（4）Diag信息中会有硬件资源不足的记录：

  Dec 30 2011 09:56:31:0552:

  LINE:978, File /root/home/w00235/d099sp59xr_r1135/platform_bcm/drv/qacl/drv_qacl_adapt.c-TASK:PTMT-FUNC::

  GetGroupInstallMode NO_ENOUGH_HARDWARE_RESOURCE ,AclType 31, Stage 2,Prio_Mjr 516,Prio_Sub 4,ulRet 11