• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

某局点S5820X下发ACL不生效问题分析案例

2014-10-27 发表
  • 0关注
  • 0收藏 2199浏览
赵国卫
赵国卫
粉丝: 关注:

某局点S5820X下发ACL不生效问题分析案例

一、       组网:

    无。

二、       问题描述:

    现场两台S5820X IRF堆叠,在ACL 3001里配置177rule,先在VLAN虚接口10上下发成功,但是在VLAN虚接口11上下发的部分ACL不生效。截取其部分配置如下:

display acl 3001

Advanced ACL  3001, named ForISPUplinkCTIn, 177 rules,

"To apply to inbound of ISP vlans for overall access control"

ACL's step is 5

 rule 1 permit tcp source 114.80.133.0 0.0.0.127 destination 58.215.43.216 0.0.0.7 destination-port eq 22

 rule 10 deny ip destination 58.215.173.54 0

 rule 11 deny ip destination 58.215.172.212 0

 rule 12 deny ip destination 58.215.177.156 0

 rule 14 deny ip destination 58.215.160.176 0

 rule 15 deny ip destination 58.215.173.16 0

 rule 17 deny ip destination 58.215.160.156 0

 rule 18 deny ip destination 58.215.187.107 0

 rule 19 deny ip destination 58.215.160.170 0

 rule 20 deny ip destination 58.215.172.240 0

 rule 21 deny ip destination 58.215.184.49 0

 rule 22 deny ip destination 58.215.173.79 0

 rule 23 deny ip destination 58.215.185.34 0

 rule 24 deny ip destination 58.215.170.69 0    //未生效,还是可以ping

 rule 100 deny ip source 0.0.0.0 0.255.255.255

 rule 101 deny ip source 127.0.0.0 0.255.255.255

...

rule 807 permit udp destination 58.215.170.69 0 destination-port gt 1024

rule 833 permit tcp source-port range ftp-data ftp destination 58.215.170.88 0.0.0.1

rule 834 permit tcp source-port range ftp-data ftp destination 58.215.170.90 0.0.0.1

rule 835 permit tcp source-port range ftp-data ftp destination 58.215.170.92 0

rule 1104 permit tcp destination 58.215.170.72 0.0.0.7 destination-port range 10000 20000

客户反馈红色部分ACL应用在VLAN虚接口11时没有生效。

三、       过程分析:

    根据客户描述,我们在实验室搭建环境对客户反馈问题进行模拟复现,当在VLAN 10里下发ACL 3001时,下发成功。

    通过如下命令查看Slot 1ACL资源使用情况如下:

[H3C-diagnose]debug qacl show acl-resc 1 0                                      

---------------Qacl Group UsedResc Info---------------                          

Acl Hw Resource: VFP                                                           

------------------------------------------------------                         

  Group  3,usedEntries    5,physlice  0,mode Single                             

------------------------------------------------------                         

    acl type                   usedEntries                                     

------------------------------------------------------                         

    [100]Pdt VFP FirstNh2Classid        5                                      

------------------------------------------------------                         

Acl Hw Resource: EFP                                                           

------------------------------------------------------                         

Acl Hw Resource: IFP                                                           

------------------------------------------------------                         

  Group  0,usedEntries    8,physlice 10-11,mode Double                         

------------------------------------------------------                         

  Group  2,usedEntries  126,physlice  9,mode Single                            

------------------------------------------------------                         

    acl type                   usedEntries                                     

------------------------------------------------------                         

    [108]Policy Based Routing        126                                        

------------------------------------------------------                         

  Group  4,usedEntries   20,physlice  6-7 ,mode Double                         

------------------------------------------------------                          

    acl type                   usedEntries                                     

------------------------------------------------------                         

    [98 ]PktFilter IPV4 on VRF        20                                        

------------------------------------------------------                         

  Group  6,usedEntries  128,physlice  4-5 ,mode Double                         

------------------------------------------------------                         

    acl type                   usedEntries                                     

------------------------------------------------------                         

    [98 ]PktFilter IPV4 on VRF        128                                      

------------------------------------------------------                         

  Group  8,usedEntries  128,physlice  2-3 ,mode Double                         

------------------------------------------------------                         

    acl type                   usedEntries                                      

------------------------------------------------------                         

    [98 ]PktFilter IPV4 on VRF        128                                      

------------------------------------------------------                          

    可以看出acl占用的是double型的slice 6slice 7,此时slice 6slice 7还有128-20=108条可以使用。

    接着在VLAN 11同样下发ACL 3001后会发现ACL下发失败,提示资源不足的错误(通过display logbuffer中可以看到)。这是因为ACL 3001前面一部分的rule接着下发到double型的slice 6 7,直到下满为止。剩下的rule要继续下发到single型的slice 8里,一般的rule可以下发进去,但是4层端口号范围的rule需要扩展匹配长度,现网ACL 3001里边有5条匹配4层端口号范围的rule

rule 807 permit udp destination 58.215.170.69 0 destination-port gt 1024

rule 833 permit tcp source-port range ftp-data ftp destination 58.215.170.88 0.0.0.1

rule 834 permit tcp source-port range ftp-data ftp destination 58.215.170.90 0.0.0.1

rule 835 permit tcp source-port range ftp-data ftp destination 58.215.170.92 0

rule 1104 permit tcp destination 58.215.170.72 0.0.0.7 destination-port range 10000 20000

    这5rule需要被下发到double型的slice,出现下发失败的原因就在于这5rule被下发到了single型的slice里,由于singe slice无法满足匹配4层端口号范围的要求,而设备又没有其他double型的资源可用,所以最终下发失败。

    其表现现象就是部分ACL规则不生效。如下查看在VLAN 11同样下发acl 3001后的acl 资源信息:

[H3C-diagnose]debug qacl show acl-resc 1 0                                     

---------------Qacl Group UsedResc Info---------------                         

Acl Hw Resource: VFP                                                           

------------------------------------------------------                         

  Group  3,usedEntries    5,physlice  0,mode Single                            

------------------------------------------------------                         

    acl type                   usedEntries                                     

------------------------------------------------------                          

    [100]Pdt VFP FirstNh2Classid        5                                      

------------------------------------------------------                         

Acl Hw Resource: EFP                                                            

------------------------------------------------------                         

Acl Hw Resource: IFP                                                           

------------------------------------------------------                         

  Group  0,usedEntries    8,physlice 10-11,mode Double                         

------------------------------------------------------                        

    acl type                   usedEntries                                     

------------------------------------------------------                         

    [22 ]RX Low                      4                                         

    [24 ]Super_RX Low                1                                         

    [60 ]Zero-Mac-Deny               1                                         

    [94 ]DATAPROTECT              2                                         

------------------------------------------------------                            Group  2,usedEntries  126,physlice  9,mode Single                            

------------------------------------------------------                         

    acl type                   usedEntries                                     

------------------------------------------------------                          

    [108]Policy Based Routing        126                                       

------------------------------------------------------                         

  Group  3,usedEntries   82,physlice  8,mode Single                             

------------------------------------------------------                         

    acl type                   usedEntries                                     

------------------------------------------------------                         

    [98 ]PktFilter IPV4 on VRF        82                                        

------------------------------------------------------                         

  Group  4,usedEntries  128,physlice  6-7 ,mode Double                         

------------------------------------------------------                         

    acl type                   usedEntries                                     

------------------------------------------------------                         

    [98 ]PktFilter IPV4 on VRF        128                                      

------------------------------------------------------                         

  Group  6,usedEntries  128,physlice  4-5 ,mode Double                         

------------------------------------------------------                         

    acl type                   usedEntries                                     

------------------------------------------------------                         

    [98 ]PktFilter IPV4 on VRF        128                                       

------------------------------------------------------                         

  Group  8,usedEntries  128,physlice  2-3 ,mode Double                         

------------------------------------------------------                          

    acl type                   usedEntries                                     

------------------------------------------------------                         

    [98 ]PktFilter IPV4 on VRF        128  

四、       解决方法:

        ACL问题相对比较复杂,很多问题都需要查看底层ACL的相关信息,底层ACL资源信息可以通过debug qacl show acl-resc 1 01为槽位号,0为芯片号)来查看。对于我们本例遇到的情况可以通过下面的方法来解决:

    解决方案:基于现有配置可以把5条匹配4层端口号范围的规则排到ACL 3001的前面,然后同时在VLAN 10接口和VLAN 11接口上下发。这样double规则就可以优先在Slice 6Slice 7上下发成功。


若您有关于案例的建议,请反馈:

作者在2019-06-12对此案例进行了修订
0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +
网站相关
关于我们
服务条款
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
知了APP下载
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2024新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作