S5500EI同时下发ipv4和ipv6的acl的注意事项
一 组网:
无
二 问题描述:
在S5500EI上通过MQC方式下发相关ACL,其中该QOS中分别放入了三个classifier与behavior的对应关系:
qos policy ip_out
classifier ipv4_ out_1 behavior ipv4_out_ 1
classifier ipv6_ out_1 behavior ipv6_out_ 1
classifier ipv4_ out_2 behavior ipv4_out_ 2
其中policy中的ipv4_out_1和ipv4_out_2引用的均是ipv4地址的ACL,ipv6_ out_1引用的是ipv6地址的ACL。
当在端口应用这个policy的时候,发现提示ACL资源不足。
[H3C-GigabitEthernet2/0/24]qos apply policy ip_out_mgmt_v1 outbound
Please Wait....
Error: Setting qos policy failed.
Reason: Not enough hardware resource.
但是实际查看ACL资源的使用情况,还留有较多的ACL资源。
[H3C]display acl resource slot 2
Interface:
GE2/0/1 to GE2/0/24
--------------------------------------------------------------------------------
Type Total Reserved Configured Remaining
VFP ACL 1024 0 0 1024
IFP ACL 4096 0 120 3976
IFP Meter 2048 0 51 1997
IFP Counter 2048 0 51 1997
EFP ACL 512 0 0 512
EFP Meter 256 0 0 256
EFP Counter 512 0 0 512
三 过程分析:
经过分析,应用policy时提示“Not enough hardware resource”确实是驱动资源不足造成的,虽然下发之前查看表项剩余的ACL资源较多,但是当同时下发含有IPV4和IPV6地址 ACL的时候会占用较多的ACL资源导致资源耗尽。
对于S5500EI设备而言,ACL资源占用时根据slice来计算的。针对以上在出方向下发策略而言,EFP方向有四个slice( 0~ 3),slice号越大优先级越高,同时也优先被占用。下发第一个CB对时,占用的为single slice,占用了slice 3;下发第二个CB对时,由于是ipv6,需要占用double slice,而double slice必须从偶数开始分,所以会占用slice 0和slice 1。当此时再下发第三个CB对时,由于优先级限制,必须放在第二个CB对之后,而同时由于它是ipv4类型,需要重新分配slice,此时已经没有能分的slice了,所以会报资源不足。
四 解决方法:
可以通过下述修改改变policy中的CB对下发顺序来规避:
qos policy ip_out
classifier ipv4_ out_1 behavior ipv4_out_ 1
classifier ipv6_ out_1 behavior ipv6_out_ 1
classifier ipv4_ out_2 behavior ipv4_out_ 2
修改为
qos policy ip_out
classifier ipv6_ out_1 behavior ipv6_out_ 1
classifier ipv4_ out_1 behavior ipv4_out_ 1
classifier ipv4_ out_2 behavior ipv4_out_ 2
通过上述修改,ipv6的优先占用slice 2和slice 3,接下来的两个ipv4的CB对分别占用slice1和slice 0,这样就不会出现资源不足了。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作