No relevant resource is found in the selected language.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Reminder

To have a better experience, please upgrade your IE browser.

upgrade

Part of Configurations for NAT are Invalid Because the Number of Nodes in ACL for LPU of NE40 Reaches Threshold

Publication Date:  2012-07-27 Views:  32 Downloads:  0
Issue Description
Software: VRP 3.10-2317 
Topology: private network segment---3528G---NE40---Internet egress. 
Symptoms: The ingress interface of NE40 to private network (four Ethernet interfaces) advertises one EACL which has thirty-three pieces of virus-proof configurations (all related rule-map enable any any), and thirty-two pieces of NAT translation configurations. However, EACL of virus-proof and fourteen pieces of NAT translation configurations could take effect, but the rest configurations for NAT are not valid. 
Alarm Information
Null
Handling Process
At present, the carrier has advertised the EACL to all interfaces at No.3 LPU, and the rule-map related to virus proof in EACL use any any completely, this increases the number of nodes in ACL for interface board by multiple times. Check the number of nodes at No. 3 LPU: 
[TCS_NE40_1-diag]efu qos query 3 

Start show lpu smt on board 03...   

 Message sending success.    

[TCS_NE40_1-diag]                                                              

  Rule count        :   182 (max  5120)             Bit nodes (PSCB's):  5121               Leaf nodes        :  5118               Total nodes       : 10239 (max 10240)        

  Leaf chains       :  5089 (max 12288)       Total stored rules:  5388 (15296)          Max rules in leaf :     3                  Node depth        :    17                                                                                                                    

According to analysis above, the nodes on No. 3 LPU has reached the threshold (10239), and the new EACL cannot be advertised again, so the EACL configured later is not valid. 

The private network is safer than public network, so the following optimization is performed to reduce the number of nodes: delete the virus-proof EACL configurations, and then advertise it to relevant interface board. 
[TCS_NE40_1-diag]efu qos query 3     

Start show lpu smt on board 03...          

Message sending success.      

 [TCS_NE40_1-diag]                

Rule count        :    71 (max  5120)          Bit nodes (PSCB's):   100         Leaf nodes        :   101        Total nodes       :   201 (max 10240)       

 Leaf chains       :    72 (max 12288)           Total stored rules:   137 (  173)           Max rules in leaf :     2           Node depth        :     9           
After optimizing the configurations, the nodes in ACL for interface board is reduced greatly, and all EACL could be advertised to interfaces; all NAT works well. 

Root Cause

For the functionalities, NP chips use SMT tree to calcualte the number of ACL nodes. The key of the algorithm uses Next Bit Test(NBT), which is complicated,  and involves a large number of intermediate processing and mathmatic algorithms, independent of single rules, depending on the relationship between rules.  According to analysis over algorithms, if the source and destination addresses in rule-map are any any, it influeces more over the number of nodes.  In network applications, we should avoid the using of any any as much as possible. Generally, the problem is often caused by that the number of ACL nodes reaches the threshold,  and the coming EACL cannot be advertised to LPU. 

Suggestions
Null

END