3步搞定交换机ACL资源不足

3步搞定交换机ACL资源不足

来源：华为产品资料

很多业务都会占用ACL资源，而设备的ACL资源是有限的，当ACL资源不足时，则会导致业务应用ACL失败或产生ACL资源不足告警。换设备嘛领导不同意，不换设备有什么办法吗？

通常情况下，当用户配置ACL相关的业务时，需要先创建ACL并配置rule规则，随后在全局、VLAN或接口视图下应用ACL。当业务下发成功后，这些rule规则就会占用ACL资源。

通常我们可以通过以下公式简单计算或预估ACL资源占用数量：

ACL资源占用数量=rule规则数量×业务应用位置的数量×业务应用方向的数量

• rule规则数量：一般情况下，一条rule规则会占用一条ACL资源。如果一条rule规则中指定了TCP/UDP端口号范围时，一条rule规则可能会按照拆分成多条规则下发，进而占用多条ACL资源。具体拆分规则可通过display acl division命令指定相应的端口号范围进行查看。

• 业务应用位置的数量：业务应用的接口数量或VLAN数量，应用到全局时为记为1。

• 业务应用方向的数量：业务应用到入方向或出方向时记为1，出入方向都应用时记为2。

部分业务在不需要配置rule规则的情况下也会隐式地下发rule规则，这些不通过配置rule规则占用ACL资源的业务不在本文的讨论范围之内，如黑名单等安全类业务，流量抑制、CPCAR等流量限速业务，上送CPU的报文统计、VLAN的流量统计等流量统计业务。

2.  配置ACL 3000。ACL 3000中包含2条rule规则，并将ACL 3000应用到接口GE0/0/1和GE0/0/2的入方向。

很多业务配置以后长时间不生效或不使用，持续占用大量ACL资源。例如流策略业务、基于ACL的简化流策略业务、本机防攻击业务、iPCA业务等。

以下几种情况都会导致ACL资源占用数量成倍增长：

• 配置的rule规则数量过多，没有考虑rule规则合并。

• 业务应用范围过大，将业务应用到过多的接口或VLAN上。

• 业务应用的范围有重叠，相同业务同时应用到全局、VLAN和接口上。

本章节着重介绍规划ACL相关业务的配置不精细导致ACL资源不足的优化方法，从而在不影响业务的情况下精简业务所占用的ACL资源。为了更好的理解如何优化ACL资源，本章节以流策略业务为例进行介绍。

优化前，某流策略所绑定的ACL中包含1000条rule规则，并且该流策略应用在4个接口的入方向上，则该业务需要占用的ACL资源为1000（rule规则数量）×4（接口数量）×1（入方向）=4000，但当前设备剩余的ACL资源仅为3000，小于该流策略所需的ACL资源4000，因此当前该业务无法成功下发。对应的配置文件如下：

接下来，通过以下三种方法，就可以将该流策略所需占用的ACL资源减少到3000以下，从而满足配置该流策略的ACL资源需求。

1.  推荐先尝试使用方法一，合并rule规则，减少rule规则数量。

2.  在已经使用方法一的基础上，可以继续使用方法二或方法三，进一步减少ACL资源的使用数量。如果对ACL资源精简数量要求较高，推荐将应用在接口的业务调整至全局，或者配置基于流ID的流策略；如果对ACL资源精简数量要求不高，且应用流策略的接口数量大于接口所属VLAN的数量，推荐将应用在接口的业务调整至VLAN。

表1-1 方法二与方法三的比较

分析各rule规则公用的匹配项，找出各规则之间的联系。

本例中的1000条rule规则中包含以下内容：

合并规则后，上例中的规则减少到462条，实际下发的规则为466条，占用的ACL资源数量为1864。计算过程为：461（IP地址合并后的rule规则数量）×4（接口数量）×1（入方向）+1（端口号合并后的rule规则数量）×5（按range拆分后的rule规则数量）×4（接口数量）×1（入方向）=1864，小于设备剩余的ACL资源数量（3000条），因此能够满足配置该流策略的ACL资源需求。

方法二：调整业务应用范围，减少业务应用位置的数量

在通过方法一合并rule规则后，可以选择以下任意一种方式，调整业务应用范围，从而继续精简ACL资源数量。

• 将应用在接口的业务调整至VLAN

如果应用流策略的接口数量大于这些接口所属VLAN的数量，且未应用流策略的接口均不属于这些VLAN，则可以将流策略应用到这些接口所属的VLAN下。调整应用范围后的ACL资源占用数量为rule规则数量×VLAN数量，小于之前的rule规则数量×接口数量。否则，建议将应用在接口的业务调整至全局。

• 将应用在接口的业务调整至全局

可以将流策略应用到全局，并在不应用该流策略的接口下各配置一条让全局的配置不生效的流策略，利用接口优先级大于全局优先级的原则，实现相同的配置效果。

由前文流策略中的配置可知，需要在接口的GE1/0/1～GE1/0/4入方向上应用流策略。此时，若仅有接口GE1/0/5的入方向不可以应用该流策略，且其他所有接口的入方向都可以应用该流策略，则可以将该流策略应用到全局，并在接口GE1/0/5上应用分类规则相同的不同流策略（例如流策略p2）。

在使用方法一的基础上，继续使用本方法调整后，对应的配置文件如下：

对于流策略业务，当设备上不同的接口或VLAN需要配置相同的流分类规则并对匹配的报文做相同的动作时，为节省ACL资源，可以将一条流策略拆分成两条，第一条对报文按照ACL分类后重标记每类报文的流ID，第二条按照流ID进行分类并对匹配同一流ID的报文进行相同的处理。该功能仅适用于应用在入方向的流策略。

如果不配置该功能，流策略占用的ACL资源数量为rule规则数量×接口数量（或VLAN数量）×1（入方向）；配置该功能后，流策略占用的ACL资源数量为rule规则数量×1（全局）×1（入方向）+1（流ID）×接口数量（或VLAN数量）×1（入方向）。

1.  配置ACL，并指定rule规则。

本例中，已经通过方法一合并rule规则。合并后的rule规则如下：

# 
acl number 3000 
 rule 1 permit ip source 10.1.1.00.0.0.255 destination 10.10.1.1 0 
 rule 2 permit ip source 10.1.2.00.0.0.255 destination 10.10.1.1 0 
 ... 
 rule 801 deny tcp destination-port range80 110 
 ... 
 rule 1000 ip source 192.168.10.1 32 
#

2.  配置流分类，按照ACL对报文进行分类。

本例中，已经配置流分类c1，用于匹配符合ACL 3000的报文。

# 
traffic classifier c1 operator and precedence 5 
 if-match acl 3000 
#

3.  配置流行为，通过remark flow-id命令重新标记报文的流ID。

配置流行为b3，用于重新标记报文的流ID。例如，重新标记流ID为4。

# 
traffic behavior b3 
 remark flow-id 4 
#

配置流策略p3，绑定流分类c1和流行为b3，并应用到全局的入方向。

配置流分类c3，匹配流ID为4的报文。

本例中，已经配置流行为b1，用于对报文进行流量统计。

最后再复习一下：

1.  首先，推荐先尝试合并rule规则，减少rule规则数量。

2.  其次，如果对ACL资源精简数量要求较高，推荐将应用在接口的业务调整至全局，或者配置基于流ID的流策略；如果对ACL资源精简数量要求不高，且应用流策略的接口数量大于接口所属VLAN的数量，推荐将应用在接口的业务调整至VLAN。