S9706 V2R6C00版本ACL资源不足的解决方案

发布时间:  2017-05-26 浏览次数:  155 下载次数:  0
问题描述

客户有如下需求,在设备配置简化流策略,对流量进行ACL过滤,然后把能够通过ACL的部分流量,再进行重定向下一跳操作。客户给出了自己的配置脚本,基本形式如下:
traffic-secure vlan 187 inbound acl 3120
traffic-secure vlan 188 inbound acl 3120
traffic-secure vlan 189 inbound acl 3120
traffic-secure vlan 1720 inbound acl 3120
traffic-secure vlan 1721 inbound acl 3120
traffic-secure vlan 1730 inbound acl 3120
traffic-secure vlan 1731 inbound acl 3120
traffic-secure vlan 1740 inbound acl 3120
traffic-secure vlan 1741 inbound acl 3120
traffic-redirect vlan 179 inbound acl name PBR_CLT_SACG ip-nexthop X.X.X.X
traffic-redirect vlan 185 inbound acl name PBR_CLT_SACG ip-nexthop X.X.X.X
traffic-redirect vlan 186 inbound acl name PBR_CLT_SACG ip-nexthop X.X.X.X
traffic-redirect vlan 187 inbound acl name PBR_CLT_SACG ip-nexthop X.X.X.X
traffic-redirect vlan 188 inbound acl name PBR_CLT_SACG ip-nexthop X.X.X.X
traffic-redirect vlan 189 inbound acl name PBR_CLT_SACG ip-nexthop X.X.X.X
traffic-redirect vlan 1720 inbound acl name PBR_CLT_SACG ip-nexthop X.X.X.X
traffic-redirect vlan 1721 inbound acl name PBR_CLT_SACG ip-nexthop X.X.X.X
traffic-redirect vlan 1730 inbound acl name PBR_CLT_SACG ip-nexthop X.X.X.X
traffic-redirect vlan 1731 inbound acl name PBR_CLT_SACG ip-nexthop X.X.X.X
traffic-redirect vlan 1740 inbound acl name PBR_CLT_SACG ip-nexthop X.X.X.X
traffic-redirect vlan 1741 inbound acl name PBR_CLT_SACG ip-nexthop X.X.X.X
此处只是给出少量显示,实际上存在大量类似的指令。经过初步计算与测试,发现配置超规格,导致后续下发提示资源不足。

解决方案

对配置做进一步分析发现,配置的VLAN存在连续性情况,比如17201721,以及17301731等等。于是可以考虑按照VLAN合并方式节约ACL资源。

1、  首先判断连续的VLAN是否在同一个掩码段,判断方法如下:

可以看到,17201721处于同一个掩码段,可以合并;187188则不能合并。依此判断其他的VLAN情况。

2、创建一个ACL4000+,用来合并VLAN首先配置一个ACL用来后续服务traffic-secure:

ACL种包含连续的VLAN及其掩码,对于不连续的VLAN,只能单独增加,例如VLAN185
请注意,这里的掩码填0xffe
再创建一个ACL用来后续服务traffic-redirect

同样,不连续的VLAN需要单独增加,这种单独的VLAN是无法节约资源的。

3、把创建的ACL 4000+和动作匹配起来

traffic-secure inbound acl 4000 acl 3120    (代表根据ACL4000里的内容作acl 3210的过滤)                                   
traffic-redirect inbound acl 4001 acl name PBR_CLT_SACG ip-nexthop 78.0.226.124 (代表根据ACL4001里的内容作重定向)

 经过合并后,配置命令行也大大减少,资源节约了3K。(节约的资源量根据不同的配置而不同,需要自行计算,有条件可以找设备下发测试)

该方法优点:节约资源比较明显,尤其是在大量VLAN连续的情况下,效果可观;
缺点:要求严苛,需要VLAN连续,并且配置方式难以理解,不方便客户的运维。
在客户要求严苛,ACL无法合并,单板非X1E的情况下,该方案可以考虑。
另外如果现网能够养成良好的配置习惯,在资源消耗上,往往是有方法可寻的。


 

 

END