• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

某局点S7506E 接口下配置包过滤报错的经验案例

  • 0关注
  • 0收藏 2237浏览
张腾 五段
粉丝:0人 关注:0人

组网及说明


问题描述

接口下配置包过滤调用ACL时报错如下:

[S7506-Ten-GigabitEthernet1/3/0/8]packet-filter 3888 outbound

Failed to apply or refresh IPv4 ACL 3888 rule 0 to the outbound direction of interface Ten-GigabitEthernet1/3/0/8. The resources are insufficient.

过程分析

1、从报错看是ACL资源不足导致配置失败

2、包过滤是在1框3槽的物理接口下发的,通过命令dis qos-acl resource查看对应槽位ACL资源

Interfaces: XGE1/3/0/1 to XGE1/3/0/48 (chassis 1 slot 3)

---------------------------------------------------------------------

Type             Total      Reserved   Configured Remaining  Usage

---------------------------------------------------------------------

VFP ACL          1024       768        0          256        75%

IFP ACL          16384      9216       317        6851       58%

IFP Meter        8192       5120       1          3071       62%

IFP Counter      8192       4608       0          3584       56%

EFP ACL          1024       0          556        468        54%

EFP Meter        512        0          0          512        0%

EFP Counter      512        0          2          510        0%

具体含义如下:

  VFP ACL表示二层转发前的,用于重标记QoS本地ID值功能的ACL资源

  IFP ACL表示入方向的ACL资源

IFP Meter表示入方向的流量监管资源

IFP Counter表示入方向的流量统计资源

EFP ACL表示出方向的ACL资源

  EFP Meter表示出方向的流量监管资源

  EFP Counter表示出方向的流量统计资源

现场在物理接口配置出方向的包过滤,对应EFP ACL资源;

EFP ACL          1024       0          556        468        54%

看到出方向acl资源总共1K,已经使用了556条,还剩下468条;

3、通过 debug qacl show acl-resc chassis 1 slot 3查看1框3槽详细的出方向acl资源占用情况

Acl Hw Resource: EFP, Pipe:0

------------------------------------------------------

  Pri  2, Group 11,usedEntries 2  ,mode Single, physlice 3/

  =========================================

    acl type                   usedEntries[2]

  =========================================

    [2  ]MQC Port                    2     //Ten-GigabitEthernet1/3/0/6   qos apply policy LT outbound流量统计占了2条出方向资源

  ======================================

------------------------------------------------------

  Pri  3, Group 12,usedEntries 554,mode Single, physlice 0/1/2/

  =========================================

    acl type                   usedEntries[554]

  =========================================

    [99 ]PktFilter IP on PORT        554   //Ten-GigabitEthernet1/3/0/7  packet-filter 3888 outbound包过滤占了554条出方向资源

  ======================================

现场想在 Ten-GigabitEthernet1/3/0/8口配置 packet-filter 3888 outbound,与 Ten-GigabitEthernet1/3/0/7配置相同;从1/3/0/7口详细的出方向ACL资源占用情况可以看到,想在1/3/0/8口下发acl 3888同样还需要554条出方向ACL资源;但3槽目前只剩下468条出方向acl资源,所以下发失败;
4、ACL 3888占用的出方向资源是如何计算的:

现场设备版本,结合用的是Packet-Filter outbound方式,具体Packet-Filter outbound 计算方式如下:

配置里ACL 3888 一共354 rule 规则,其中range rule规则48个,非range数量306

对于range rule 规则,实际占用Slice资源= 每一条 range rule规则 端口范围,拆分为N步长后,逐条加入Slice中,比如

rule 1690 permit tcp destination 10.6.2.0 0.0.0.127 destination-port range 5060 5080 ,就被拆成4条规则存储在Slice

========

Acl-Type PktFilter IP on PORT, Stage EFP, SinglePort, Installed, Active

Prio Mjr/Sub 264/33, Group 4 [4], Slice/Idx 3/0, Entry 276, Single: 768

ACL GroupNo : 3344, RuleID : 1690 [1]

Rule Match --------

        Out Port: 6

        Dest IP: 10.6.2.0, 255.255.255.128

        IP protocol: tcp

        IP Type: Any IPv4 packet

       L4 Dst Port: 5060, 0xfffc

Actions --------

        Permit

========

Acl-Type PktFilter IP on PORT, Stage EFP, SinglePort, Installed, Active

Prio Mjr/Sub 264/33, Group 4 [4], Slice/Idx 3/1, Entry 277, Single: 769

ACL GroupNo : 3344, RuleID : 1690 [1]

Rule Match --------

        Out Port: 6

        Dest IP: 10.6.2.0, 255.255.255.128

        IP protocol: tcp

        IP Type: Any IPv4 packet

        L4 Dst Port: 5064, 0xfff8

Actions --------

        Permit

========

Acl-Type PktFilter IP on PORT, Stage EFP, SinglePort, Installed, Active

Prio Mjr/Sub 264/33, Group 4 [4], Slice/Idx 3/2, Entry 278, Single: 770

ACL GroupNo : 3344, RuleID : 1690 [1]

Rule Match --------

        Out Port: 6

        Dest IP: 10.6.2.0, 255.255.255.128

        IP protocol: tcp

        IP Type: Any IPv4 packet

        L4 Dst Port: 5072, 0xfff8

Actions --------

        Permit

========

Acl-Type PktFilter IP on PORT, Stage EFP, SinglePort, Installed, Active

Prio Mjr/Sub 264/33, Group 4 [4], Slice/Idx 3/3, Entry 279, Single: 771

ACL GroupNo : 3344, RuleID : 1690 [1]

Rule Match --------

        Out Port: 6

        Dest IP: 10.6.2.0, 255.255.255.128

        IP protocol: tcp

        IP Type: Any IPv4 packet

       L4 Dst Port: 5080, 0xffff

Actions --------

        Permit

因此Packet-Filter outbound ACL 3888资源应该(非range数量306+48range 规则分别拆分存储占用Slice数量)=554条;






解决方法

1、从ACL资源分布情况可以看到,设备或单板的入方向ACL资源是远大于出方向ACL资源的,可以在1框3槽的入接口调用入方向包过滤;

Type             Total      Reserved   Configured Remaining  Usage

---------------------------------------------------------------------

VFP ACL          1024       768        0          256        75%

IFP ACL          16384      9216       317        6851       58%

IFP Meter        8192       5120       1          3071       62%

IFP Counter      8192       4608       0          3584       56%

EFP ACL          1024       0          556        468        54%

EFP Meter        512        0          0          512        0%

EFP Counter      512        0          2          510        0%

2、根据情况优化ACL rule规则,减小条目数,工程量较大;

3、现场其它槽位单板剩余的出方向ACL资源和接口满足条件,在其它槽位配置;


该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

作者在2019-06-08对此案例进行了修订
0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作