S2750 ACL资源不足导致安全策略下发到端口不成功

发布时间:  2016-06-16 浏览次数:  128 下载次数:  0
问题描述

在部署网络设备S2750中,客户要求S2750上行口(4个光口和一个以太口)部署traffic-policy策略(inbound方向),并提供一份较长的ACL清单。在加载配置重启后,S2750提示ACL资源不足,安全策略下发端口不成功。

处理过程

查看S2750 ACL规格为1024条,在系统里面查看ACL的应用情况,display acl resource,可以看到系统下发ACL确实超标。

解决方案

因为这个问题是产品规格问题,有以下两个规避方案,

    A. 将traffic-policy应用在全局模式下,这种方案的好处是ACL资源只是占用一份,可以有效解决ACL资源不足问题。坏处是,下行口的上行流量(inbound方向)同样需要匹配ACL条目。

    B. 减少不必要端口应用该策略,因为客户要求是五个口都需要应用该策略,但是实际用的时候只是应用1-2个接口,可以在不用的端口处删除traffic-policy策略,同样可以达到节约ACL资源

建议与总结

在遇到硬件资源不足的情况下,需要第一时间了解客户实际业务需求,根据客户业务作出相应的反应动作,可以有效的解决实际问题。

END