互联网各领域资料分享专区(不定期更新):
ACL 使用不足
ACL 使用不足表现为下发 MQC 配置时报错资源不足,首先介绍下资源情况:
12800/6870 资源情况:
ACL 资源种类包含 TCAM、KB、CE 等,有任何一种资源不够,ACL 业务就会下发失败。
TCAM:TCAM 用于存放用户下发的各个 ACL 规则内容;
CE(Copy Engine):CE 用于从报文头和转发信息提取 ACL 查找所需的各个字段;
KB(Key Buffer):CE 提取的字段存储到 KB,KB 用于存放查找 TCAM 时构建的查找 KEY;
具体规格如下:
TOR 上主要为 SLICE 资源(和 BANK 相同),各个形态的资源不同,如下规格:
当下发失败时,通过 display system tcam fail-record slot x 先确认具体哪个 MQC 策略下发失败和失败原因。
ACL 使用不足-解决方案
A、删减 ACL 业务或者找不使用 ACL 的业务方案
通过 display system tcam service brief 查看 ACL 业务,并分析是否可以删除;
如果存在 MQC 镜像和 MQC 优先级映射,考虑是否可以用端口镜像和 qos 镜像替代。
B、使用 qos group 优化
在多个物理接口、VLAN 或者 VLANIF 下应用相同的 traffic policy 可以使用 qos group 进行优化,优化的思路是把同类型接口添加到一个 qos group,然后流策略在 qos group 视图下应用,最终下发的 ACL 条数只有原来一个接口下数量。
C、调整匹配内容使 MQC 选相同分组
两个 MQC 匹配的 ACL 规则的种类一样,选到的分组必然一样,节约了分组不同占用的 slice。
D、使用自定义模板,模板介绍比较复杂,建议联系研发或查看手册中关于 ACL 自定义模板的介绍。
E、VXLAN 场景 128 通过命令行来减少资源
Vxlan 场景需要开启两个扩展命令行来节省 ACL 资源;
assign forward nvo3 service extend enable
优化业务名称:Ping Packet Pass(优化到 cpcar L3 分组) ,EVN Packet(优化到 cpcar L3 分组)
assign forward nvo3 acl extend enable 重启生效,优化业务名称: CPCAR Dci Extend (99)
直接删除
ACL 策略不生效
场景问题为部署镜像或者 REMARK 动作未生效,一般分为配置问题和软件问题,配置问题为芯片上存在多个策略,造成策略未生效。查看方式如下:
如果两个策略在优先级的 Priority 分组相同,则只有一个动作可以生效,如果分在不同的组,则可以同时生效。同一流策略应用在不同应用对象时,按照逻辑接口(子接口、VLANIF接口、VBDIF 接口)、物理接口、业务实例(VLAN、VPN 实例)、全局的优先顺序选择生效。
其次为 MQC 的几个场景限制注意点:
