S5600系列交换机ACL使用说明
- 0关注
- 0收藏 750浏览
S5600系列交换机ACL资源占用的使用说明
针对S5600系列交换机而言,ACL占用的资源分为占用mask资源与占用rule资源两种,mask资源即下发的rule中网段掩码对应的资源数量,rule资源即acl中总的rule条目数。不同设备对应的可用的mask资源与rule资源数量不同,其中还包括系统占用的一些资源。只有当mask剩余资源与rule剩余资源同时满足的情况下,acl才能下发成功。对于acl的资源使用情况,可以使用命令display drv qacl qacl_resource来查看,以S5600-26C为例,结果如下:
<H3C>dis drv qacl qacl_resource
block used-mask used-rule spare-mask spare-rule
UNIT 0: 0 7 17 9 111
1 7 17 9 111
2 7 17 9 111
3 7 17 9 111
4 7 17 9 111
5 7 17 9 111
6 7 17 9 111
7 7 17 9 111
8 7 17 9 111
9 7 17 9 111
10 7 17 9 111
11 7 17 9 111
UNIT 1: 0 7 17 9 111
1 7 17 9 111
2 7 17 9 111
3 7 17 9 111
4 7 17 9 111
5 7 17 9 111
6 7 17 9 111
7 7 17 9 111
8 7 17 9 111
9 7 17 9 111
10 7 17 9 111
11 7 17 9 111
针对我们的S5600而言,每个千兆口为一个block,其中combo的两个口共用一个block;每12个端口为一个Unit。以上信息显示,在空配置的情况下,该配置系统占用了一定数量的mask(即used-mask)与rule(used-rule)资源,该资源无法使用。
以下针对S5600两种不同方式的下发acl来对资源占用情况进行说明。
一、 端口应用acl
S5600仅支持入方向下发acl,当下发acl时,只有该端口对应的block占用该acl资源。
二、Vlan应用acl
当基于vlan下发acl时,该vlan下所有端口所在的block均会占用该acl的资源。
以下针对S5600下发acl对mask与rule资源占用情况分别进行说明。
一、 mask资源的占用
mask资源的占用情况是根据源地址掩码和目的地址掩码的不同长度的数目而定。比如对于两条rule,只有在源地址掩码和目的地址掩码长度均一致的情况下才占用同一个mask资源。
二、 rule资源的占用
rule资源的占用情况是根据rule的条目数而定。
另外,除了直接通过packet-filter在S5600上下发acl会占用acl的资源之外,AM绑定,802.1X等均会占用acl的资源。
AM绑定:S5600仅支持三者同时进行绑定,每做一次绑定,将占用该端口所在block的3个mask,4个rule。
802.1X:端口使能dot1x,则占用该端口所在block的2个mask,3个rule。
该案例暂时没有网友评论
编辑评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作