无
某局点使用S5554C-EI-D的交换机,用户在vlan虚接口下面配置了IPv6的包过滤来实现对IPv6用户的流量控制。现场反馈在vlan虚接口下面的packet-filter ipv6 3700 inbound成功了,但是配置packet-filter ipv6 3700 outbound提示报错“Failed to apply IPv6 ACL 3700 to the outbound direction of interface Vlan-interface1 on slot 3.”
日志信息提示为“%Jan 4 07:49:15:147 2013 HPE PFILTER/3/PFILTER_IF_NO_RES:
Failed to apply or refresh IPv6 ACL 3700 rule 10 to the outbound direction of
interface Vlan-interface1. The resources are insufficient."
1、查看设备的acl资源使用
从上面的故障报错信息提示来看,很有可能是ACL资源不足导致的。因此搜集设备的ACL资源数量以及slice块ACL资源进行分析。
下面查看acl资源数量:
===============display qos-acl resource===============
Interfaces: GE1/0/1 to GE1/0/48, XGE1/0/49 to XGE1/0/52
---------------------------------------------------------------------
Type Total Reserved Configured Remaining Usage
---------------------------------------------------------------------
VFP ACL 2048 516 0 1532 25%
IFP ACL 4096 1024 49 3023 26%
IFP Meter 2048 512 0 1536 25%
IFP Counter 2048 256 18 1774 13%
EFP ACL 1024 0 645 379 62%
EFP Meter 512 0 0 512 0%
EFP Counter 512 0 9 503 1%
2、从上面看出目前EFP出方向的ACL剩余数量为0,为了确认使用情况,通过在V7版本系统视图下面通过probe模式查看ACL使用情况:
debug qacl show acl-res slot 1 chip 0
------------------------------------------------------
Acl Hw Resource: EFP
------------------------------------------------------
Pri 3, Group 4,usedEntries 647,mode Single, physlice 1/2/3/
=========================================
acl type usedEntries[647]
=========================================
[96 ]PktFilter IP on VRF 647
可以看到使用的条目和display qos-acl resource差不多,
经过分析我们可以看见当前的EFP ACL资源已经使用了647,占用了三个slice,一共只有4个,IPv6 ACL的下发需要至少2个slice,所以目前剩下的EFP slice只有一个,无法执行下发IPv6的ACL 下发。
通过上面的分析可以看出是EFP出方向的ACL资源不足导致的,解决方法有:
1、建议客户将IPv6 ACL的rule里面的网段进行合并缩减,并在probe模式中观察EFP的使用情况。
2、尽量不要在vlan虚接口调用ACL,因为ACL发在vlan虚接口占用的slice资源大于物理接口。
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作