!guide_close_btn!

设备Portal认证经验总结

digest [复制链接]
发表于 : 2015-11-18 09:32:30 最新回复:2015-11-18 12:41:06
2390 1
阮贵东  导师

设备Portal认证经验总结

 

一、Portal优化方法:

设备Portal认证经验总结-1345537-1 

1portal free-rule 尽量控制在5条以内,最多不要超过10条。Free-rule数量直接影响到最终上线人数,建议在网络地址规划时将公共区(认证前可访问的目的区域)划分到一个网段中,这样可以最大化精简free-rule数量。

2portal free-rule 放通某些源网段的时候一定要加上vlan参数,可节约硬件表项资源(增加vlan参数前设备会在所有使能portalvlan里下发该free-rule规则,增加vlan 参数后只会在相应的vlan中下发该free-rule规则)。

3trunk端口不要permit vlan all,需要写明具体permitvlan id。这样在端口上只会针对这些permitvlan下发ACL,否则这个端口会对所有使能portalvlan下发ACL,浪费了硬件资源。

4)对于48口设备或单板,拥有2颗芯片,分别属于前24口和后24口,将认证的业务端口均匀的分摊到2颗芯片上可充分利用单板资源,对于框式设备还可以将认证业务端口分摊在不同单板上。

54k ACL的单板或设备(例如SC单板或S5500EI)默认每芯片最大1500人。8k ACL的单板或设备(例如SD单板或S5800)默认每芯片最大3000人。

6)聚合端口做portal认证要比非聚合口做portal认证消耗更多的资源,因此在聚合组网或IRF+聚合组网中推荐用8k IFP ACL的单板或设备。

 

二、Portal资源计算(参考值):

计算公式:[单板ACL可用资源-A*2-B*2-C*2]/2 = 用户上线数

举例:设备共配置3free-rule,共19vlan使能portal认证,共有38个链路聚合口,每个链路聚合口permit 1个使能portalvlan

A: 19+38*1=57

B: 19+38*1=57

C: 3+38*3=117

[6144-A*2-B*2-C*2)]/2=[6144-57*2-57*2-117*2]/2=2841  即最大上线人数为2841

注释:单板ACL可用资源通过display acl resource查看IFP ACL项的Remaining值。

三、Portal资源不足判断(满足下面的一个或多个)

1)通过display acl resource查看IFP使用率Usage是否偏高:

 [H3C]display acl resource

   Type          Total       Reserved    Configured  Remaining   Usage

   IFP ACL       8192        3072        3593        1527        81%

  //注:portal会使用Double sliceSingle slice有剩余也无法使用,因此Usage未满也会出现资源不足的情况。

2)通过display portal interface Vlan-interface查看接口portal状态状态:

 [H3C]display portal interface Vlan-interface 100

   Portal configuration of Vlan-interface100

   IPv4:

      Status: Portal enabled  //表示使能但未生效

  //注:正常状态应为running,表示认证已生效 

3)日志中会有ACL达到上限的记录:

  [H3C]display logbuffer

  %Dec 30 11:40:24:227 2011 RA-S10508-V PORTAL/4/PORTAL_ACL_FAILURE: -Chassis=2-Slot=1; The number of ACLs on the device has reached the maximum.

4Diag信息中会有硬件资源不足的记录:

  Dec 30 2011 09:56:31:0552:

  LINE:978, File /root/home/w00235/d099sp59xr_r1135/platform_bcm/drv/qacl/drv_qacl_adapt.c-TASK:PTMT-FUNC::

  GetGroupInstallMode NO_ENOUGH_HARDWARE_RESOURCE ,AclType 31, Stage 2,Prio_Mjr 516,Prio_Sub 4,ulRet 11

 

 

 

 

注:以上是做项目的时候遇到的华三设备。刚我用模拟器试了一下华为设备,检查命令一样,只是输出内容有点小区别。 


  • x
  • 常规:

点评 回复

跳转到指定楼层
afeng  专家 发表于 2015-11-18 12:41:06 已赞(0) 赞(0)

多谢分享,赞一个。

  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!

登录参与交流分享

登录

华为企业互动社区
华为企业互动社区
屏蔽
!block_confirm_cont!