S3600系列交换机ACL使用说明

S3600系列交换机ACL资源占用的使用说明

针对S3600系列交换机而言，ACL占用的资源分为占用mask资源与占用rule资源两种，mask资源即下发的rule中网段掩码对应的资源数量，rule资源即acl中总的rule条目数。不同设备对应的可用的mask资源与rule资源数量不同，其中还包括系统占用的一些资源。只有当mask剩余资源与rule剩余资源同时满足的情况下，acl才能下发成功。对于acl的资源使用情况，可以使用命令display drv qacl_resource 来查看，以S3600-52P-EI为例，结果如下：

<H3C>dis drv qacl_resource

        block   used-mask used-rule spare-mask  spare-rule 

         0         4         19        12        237      

         1         4         19        12        237      

         2         4         19        12        237      

         3         4         19        12        237      

         4         4         19        12        237      

         5         4         19        12        237       

         6         4         5         12        123       

         7         4         5         12        123      

         8         4         5         12        123      

         9         4         5         12        123 

  上面信息显示共有10个block，针对我们的3600而言，每8个百兆口或者每个千兆口共享一个block，比如Ethernet1/0/1~Ethernet1/0/8共享block 0，而Ethernet1/0/33属于block 4。以上信息显示，在空配置的情况下，该配置系统占用了一定数量的mask（即used-mask）与rule（used-rule）资源，该资源无法使用。

以下针对S3600两种不同方式的下发acl来对资源占用情况进行说明。

一、 端口应用acl

  1、入方向下发acl时，只有端口所在的block占用该acl资源

  2、出方向下发acl时，相当于全局下发acl，会占用所有block的资源。

二、Vlan应用acl

   当基于vlan下发acl时，该vlan下所有端口所在的block均会占用该acl的资源。

以下针对S3600下发acl对mask与rule资源占用情况分别进行说明。

mask资源的占用

mask资源的占用情况是根据源地址掩码和目的地址掩码的不同长度的数目而定。比如对于两条rule，只有在源地址掩码和目的地址掩码长度均一致的情况下才占用同一个mask资源。

rule资源的占用

rule资源的占用情况是根据rule的条目数而定。

需要注意的是，若在同一个block中的不同端口下发同一个acl，mask资源不会重复占用，但是rule资源会重复占用。

另外，除了直接通过packet-filter在S3600上下发acl会占用acl的资源之外，AM绑定，802.1X等均会占用acl的资源。

AM绑定：若绑定携带端口号，则占用该端口所在block的3个mask，4个rule；若不携带端口号，则占用所有block的3个mask，3个rule。

802.1X：端口使能dot1x，则占用该端口所在block的2个mask，4个rule。