問題描述:
ACL大多應用在vlan下
處理刪減一部分acl來解決 是否還有其他辦法解決?
如:同一acl應用在多個vlan導致條目過多,如果把acl按vlan相關地址的條目來拆分開,並分別再新建acl應用在各個vlan。是否能解決利用率過高的問題?
- 2025-03-06提問
- 舉報
-
(0)
最佳答案
您好,S7506E交換機ACL資源使用率過高解決方案
1.合並ACL規則,減少規則數量
合並相似規則:檢查現有的ACL規則,合並那些具有相似匹配條件的規則。例如,如果多個規則都匹配相同的源IP地址範圍和目的IP地址範圍,可以將它們合並成一條規則。
使用範圍匹配:對於端口號等連續範圍的匹配,使用range關鍵字來合並規則。例如,將多個匹配不同端口號的規則合並成一條規則,使用destination-port range來指定端口範圍。
2. 調整業務應用範圍,減少業務應用位置的數量
將應用在接口的業務調整至VLAN:如果應用流策略的接口數量大於這些接口所屬VLAN的數量,且未應用流策略的接口均不屬於這些VLAN,則可以將流策略應用到這些接口所屬的VLAN下。這樣可以減少ACL資源的占用數量。
將應用在接口的業務調整至全局:如果業務可以全局應用,而不是在每個接口上單獨應用,可以將流策略應用到全局。這樣可以減少ACL資源的占用數量。
3. 配置基於流ID的流策略
重標記流ID:配置ACL規則,並通過remark flow-id命令重新標記報文的流ID。然後,配置流策略,綁定已配置的流行為和流分類,並應用到全局。
按流ID分類:配置流分類,通過if-match flow-id命令對報文進行分類,並對匹配同一流ID的報文進行相同的處理。
4. 優化網絡策略
簡化ACL規則:減少不必要的ACL規則,避免冗餘的匹配條件。
使用更高效的匹配條件:使用更高效的匹配條件,例如使用IP地址範圍而不是具體的IP地址,以減少規則的複雜度。
5. 監控和管理ACL資源
定期檢查ACL資源使用情況:使用命令如display acl來監控ACL資源的使用情況,及時發現和解決資源不足的問題。
刪除不必要的ACL配置:定期清理不再使用的ACL配置,釋放資源。
示例配置
方法一:合並rule規則,減少rule規則數量
#
acl number 3000
rule 1 permit ip source 10.1.1.0 0.0.0.255 destination 10.10.1.1 0
rule 2 permit ip source 10.1.2.0 0.0.0.255 destination 10.10.1.1 0
...
rule 801 deny tcp destination-port range 80 110
...
rule 1000 ip source 192.168.10.1 32
#
traffic classifier c1 operator and precedence 5
if-match acl 3000
#
traffic behavior b1
permit
statistic enable
#
traffic policy p1 match-order config
classifier c1 behavior b1
#
方法二:調整業務應用範圍,減少業務應用位置的數量
#
acl number 3000
rule 1 permit ip source 10.1.1.0 0.0.0.255 destination 10.10.1.1 0
rule 2 permit ip source 10.1.2.0 0.0.0.255 destination 10.10.1.1 0
...
rule 801 deny tcp destination-port range 80 110
...
rule 1000 ip source 192.168.10.1 32
#
traffic classifier c1 operator and precedence 5
if-match acl 3000
#
traffic behavior b1
permit
statistic enable
#
traffic policy p1 match-order config
classifier c1 behavior b1
#
vlan 10
traffic-policy p1 inbound
#
vlan 20
traffic-policy p1 inbound
#
方法三:配置基於流ID的流策略
#
acl number 3000
rule 1 permit ip source 10.1.1.0 0.0.0.255 destination 10.10.1.1 0
rule 2 permit ip source 10.1.2.0 0.0.0.255 destination 10.10.1.1 0
...
rule 801 deny tcp destination-port range 80 110
...
rule 1000 ip source 192.168.10.1 32
#
traffic classifier c1 operator and precedence 5
if-match acl 3000
#
traffic behavior b3
remark flow-id 4
#
traffic policy p3 match-order config
classifier c1 behavior b3
#
traffic-policy p3 global inbound
#
traffic classifier c3 operator and precedence 10
if-match flow-id 4
#
traffic behavior b1
permit
statistic enable
#
traffic policy p1 match-order config
classifier c3 behavior b1
#
interface GigabitEthernet1/0/1
traffic-policy p1 inbound
#
interface GigabitEthernet1/0/2
traffic-policy p1 inbound
#
interface GigabitEthernet1/0/3
traffic-policy p1 inbound
#
interface GigabitEthernet1/0/4
traffic-policy p1 inbound
#
- 2025-03-06回答
- 評論(0)
- 舉報
-
(0)
ACL占用資源可以參考下,然後對應調整一下:
7500E支持通過MQC方式來下發ACL,下發ACL均會占用一定的ACL資源,可以通過命令display acl resource查看下發ACL所占用資源的情況。
<7500E>display acl resource
Interface:
GE3/0/1 to GE3/0/24
--------------------------------------------------------------------------------
Type Total Reserved Configured Remaining
--------------------------------------------------------------------------------
VFP ACL 1024 0 0 1024
IFP ACL 4096 1024 0 3072
IFP Meter 2048 512 0 1536
IFP Counter 2048 512 0 1536
EFP ACL 512 0 0 512
EFP Meter 256 0 0 256
EFP Counter 512 0 0 512
從以上信息可以看出,ACL占用的資源包括以下幾種,他們表示的含義如下:
ACL : 表示ACL 規則資源
Meter :表示流量監管資源
Counter :表示流量統計資源
IFP :表示入方向的資源數目
EFP :表示出方向的資源數目
VFP :表示二層轉發前的,應用於QinQ 功能的資源數目
其中,係統占用的資源會顯示在Reserved或Configured中(版本不同,顯示不同),而這一部分資源是不可使用的。對於SC單板,IFP硬件資源數量總共是4K, 係統保留的1K左右,可以使用的acl資源數量是3072條左右。對於SA單板,IFP硬件資源數量每芯片1K, 係統保留的是512條,可以使用的acl資源數量是512條左右。
對於7500E以MQC方式下發ACL對資源具體占用情況說明如下:
(1)所有出方向的MQC(ACL,QoS),下發在EFP中;
(2)所有入方向放入的端口、VLAN MQC(ACL,QoS),下發在IFP中;
(3)VFP預留給VLAN Mapping 、靈活QinQ、MAC-BASED-VLAN;
(4)對於基於MQC方式下下發的ACL生效順序依次為:協議收包——端口下發的MQC——VLAN下發的MQC——全局下發的MQC——VOICE VLAN——端口綁定——EAD——PORTAL——低優先級協議收包。
(5)在VLan下發 ACL,相同的policy在不同的vlan下發,資源占用數為vlan數×ACL的rule數;
(6)在全局下發ACL,一般情況下每條rule隻占用一條ACL資源表項(入方向占用IFP表,出方向占用EFP表項);
(7)相同的policy在端口、vlan和全局多次下發,會占用多份ACL資源;
(8)當同時下發基於vlan的policy與基於端口的policy且vlan與端口之間有包含關係時,會重複占用ACL資源;當下發了基於vlan或基於端口的policy時,再下發全局policy也會重複占用資源。
(9)ACL中有四層端口操作符時,如果ACL中匹配端口號是大於(gt)、小於(lt)或者範圍(range),會占用另外一種表項資源,稱為端口範圍表(和IFP/EFP不同),這個表項一共有16條可以共用。如果隻是等於(eq),則不需要使用這種表項。所以定義的端口範圍的種類不能超過16種;
(10)下發ACL的TCP端口定義範圍可能有三種:
匹配源端口號
匹配目的端口號
匹配端口範圍
如果下發的ACL定義中隻有上麵定義組合中的兩種,每條子rule占用一條ACL資源,如果三種都有則占用兩條ACL資源(入方向占用IFP表,出方向占用EFP表項);
MQC方式下發ACL的一般原則:
(1)盡量在設備的入方向上下發策略,因為出方向的ACL資源比較少;
(2)相同的ACL 策略盡量在全局下或者端口下下發;
在VLAN下發時,二層(VLAN)信息和三層(SIP/DIP/L4SRC/L4DST/L4RANGE)信息混合匹配,這種情況下需要擴展匹配能力,會耗費更多ACL,改為端口下發和全局下發隻需要三層匹配基本匹配能力即可,可以節省ACL資源,並且不同的端口還可以共用相同的硬件資源。
(3)避免相同的ACL策略在端口、vlan和全局多處下發,多處下發會占用多份ACL資源但最終生效的順序為端口 > vlan > 全局;
(4)盡量避免不同的policy引用相同的ACL,並且在不同的端口、不同vlan下發或者在端口、vlan、全局混合下發,這樣都會出現相同的ACL占了的多份ACL資源;
(5)盡量避免使用四層端口操作符gt、lt和range,因為端口範圍資源表項比較少,同時如果混合使用了匹配源端口、目的端口和範圍三種匹配端口方式會增加ACL資源占用。
另外,除了通過MQC方式直接下發acl之外,端口綁定(user-bind)、Free-rule等也會占用acl的資源;端口綁定會占用入方向的258條資源,在同一芯片的其它端口下發綁定項不會重複占用資源。
多個物理端口,調用同一個acl,隻占用一份acl資源;
2)對於outbound方向,同一個芯片下的物理端口,調用同一個acl,一個物理端口占用一份,多個物理多個占用多份;
- 2025-03-06回答
- 評論(0)
- 舉報
-
(0)
你好,可以解決
關於ACL資源不足的問題,以下是排查要點,請參考:
1、可以優化下ACL的策略,比如本來在一個子網內,可幫到同一個子網內的規則中。
2、同時看下哪些ACL是不用的,可以刪掉來節約資源。
3、關於ACL綁定策略路由後不按規劃走的問題,可以檢查下ACL是否已綁定正確。同時將策略路由應用到業務VLAN的網關下後再測試。
- 2025-03-06回答
- 評論(2)
- 舉報
-
(0)
why?
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明