• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

S3610/55510系列交换机硬件ACL实现机制说明

  • 0关注
  • 0收藏 706浏览
粉丝: 关注:

1、硬件ACL资源

ACL的规则因为支持的长度不同在芯片内部分为标准型和扩展型,对用户不可见。

1)标准型的ACL24bytesS3610可以支持2048条,S5510支持4096条。

2)扩展型的ACL48bytesS3610可以支持1024条,S5510支持2048条。

3FE端口最多256条,GE端口最多512条,一个vlan上最多512条。

2、资源分配机制

ACL规则是标准型还是扩展型,必须在一个端口上保持一致。例如,在一个端口上开始下发的规则是标准型,但是后来下发的一条规则是扩展型,那么这个端口上前面的标准型的规则也会被修改为扩展型,并且该端口上以后再下发规则,都会被设置为扩展型的,直到该端口上的规则被全部删除,才可能再下发标准型的规则。

一个端口上的规则类型,不会影响其它端口的规则类型。比如,端口1上的规则都是扩展型的,而端口2的规则可以都是标准型的。

下发到VLAN上的ACL规则是扩展型的,而且,一旦配置了VLAN上的规则,所有端口的标准型的规则都要被修改为扩展型的,而且,之后再下发ACL,都会被设置为扩展型的。

系统内部的一些功能模块需要使用ACL,如集群协议、802.1xVoice VLAN、端口隔离、DHCP snoopingARP DetectionMFFSmart-LinkEAD、灵活QinQMAC+IP端口绑定等等,一旦使能这些模块,就要占用一些ACL资源。

802.1x模块也可以通过服务器下发一些配置好的ACL,也会占用系统的ACL资源。

因此,有时候在端口上或整机上用户配置ACL,会发现达不到规格,原因就是被一些功能模块使用了。或者用户配置了大量的ACL,系统内部模块下发ACL会出现资源不足而失败,导致功能不可用或有缺陷,如端口隔离下发的ACL失败,就会导致本机的ARP报文无法上CPU802.1x通过服务器下发的ACL因资源不足会导致用户无法上线等。IPv6协议模块也要使用一些ACL的资源。

3、规则优先级(端口>VLAN>全局)

报文首先查找端口上的ACL规则,如果匹配,则执行相应的动作而不再继续查找VLAN上的规则。如果没有匹配,则继续查找VLAN上的规则,最后查找全局的规则。

端口上的ACL的匹配顺序首先是按照模块之间的优先级来匹配。例如,端口上策略的优先级最高,端口car次之,Smart-Link 802.1x协议的ACL、集群协议、ARP DetetionDHCP snoopingVoice VLANEAD、端口隔离、MFF高优先级规则、802.1x服务器下发的ACLMAC+IP端口绑定(IP check)、灵活QinQMFF低优先级规则。

报文是按照顺序查找规则,一旦命中了第一条与之匹配的规则,便不再继续查找。因此就会有一些情况下发现端口上的某个功能模块不起作用了,这时就需要检查一下报文是否匹配了其它的规则。

若您有关于案例的建议,请反馈:

作者在2010-01-25对此案例进行了修订
0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作