S127设备ACL下增加删除配置条目报错

发布时间:  2016-12-21 浏览次数:  97 下载次数:  0
问题描述

某公安分局公安专网为每个派出所分配了不同网段的多个IP接入公安网使用,原则上每个派出所要使用的IP在分局登记授权以后才能进入公安专网。公安分局通过在网关设备S127上配置ACL的方式限制未备案的IP接入公安网,运维人员在配置相关ACL条目时报错如下:

告警信息
处理过程

1.首先分析网络配置,发现配置的ACL3005条目数大约有1000多条,并且每一个条目只是单个ip,没有合并网段,并引用到了4个VLANIF接口的IN和OUT两个方向。

2.查看单板的型号,确定单板支持的license总量,确认当前配置的ACL条目数超过了单板支持的条目数。

2     -   ET1D2G48TEA0 Present   PowerOn    Registered     Normal     NA  
3     -   ET1D2G48TEA0 Present   PowerOn    Registered     Normal     NA  
4     -   ET1D2G48TEA0 Present   PowerOn    Registered     Normal     NA  
5     -   ET1D2X04XEA0 Present   PowerOn    Registered     Normal     NA  
6     -   ET1D2X16SSC0 Present   PowerOn    Registered     Normal     NA  
7     -   ET1D2X16SSC0 Present   PowerOn    Registered     Normal     NA



根因
是由于配置的ACL条目数超过了单板的限制导致的此问题。
解决方案

通过分析ACL的业务类型,发现此配置是为下挂24个派出所限制IP使用,通过以下配置方案解决:

1.拆分ACL,为每个派出所配置专属ACL号,并将ACL应用到S127下联派出所接口

2.合并每个派出所连续的IP地址,用网段合并单个地址,减少条目。

建议与总结

在实现某种功能的时候方法一定要合理,不能贪图快捷影响设备性能。

END