所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
案例库

FAQ:CE交换机ACL限制

发布时间:  2018-11-15  |   浏览次数:  504  |   下载次数:  3  |   作者:  cWX466471  |   文档编号: EKB1001989044

目录

问题描述

使用ACL定位CE交换机问题的一些使用限制和注意事项。

解决方案

1. CE12800设备的出方向ACL统计功能:

(1)V2R1及以前的版本,出方向配置包含统计动作的traffic-policy策略时,只能匹配单个物理接口,不能匹配eth-trunk接口;所以比较难定位eth-trunk接口流量是否已经转发出去。

(2)出方向流统计因为适用环回口,在IDC大流量的场景下,一旦配置之后很容易引起超过环回口带宽丢包的情况。表现为业务高峰期丢包,空闲时不丢包。

2. 出方向流镜像功能限制

(1)CE12800设备出方向策略区分二三层转发类型。CE12800设备出方向配置例如流镜像、流策略的时候,如果ACL rule中匹配IP字段,将只能匹配三层转发的报文,二层转发的报文会无法命中。所以定界时,要考虑清楚是否有此场景,避免白抓一次包。

(2)CE68设备不支持出端口基于流的镜像功能,只支持端口镜像。要实现流镜像,只能借助端口镜像到环回口的方式在环回口入方向做流镜像。

(3) 出方向镜像功能生效位置可能会导致镜像不到本机CPU外发的报文。

对于TOR设备而言,出方流镜像功能生效的位置比较早,主机强制发包方式发送的报文,如icmp request、snmp报文等,是镜像不到的,CE12800部署时也需要考虑这一点。