(!) Количество записей Classifier и Policy Rule в Ethernet-коммутаторах серии GS-30xx и GS-40xx

Какое количество классификаторов и правил политики можно создать в Ethernet-коммутаторах серии GS-30xx и GS-40xx? Почему при попытке создания очередного правила политики в консоли выдается ошибка: bcm_filter_install failed: Table full?


Согласно информации Базы знаний KB-1715, в настоящее время все Ethernet-коммутаторы ZyXEL, поддерживающие работу с классификаторами и правилами политики, имеют одинаковые ограничения в 128 записей при создании классификаторов (Classifier) и правил политики (Policy Rule). Но при этом существуют ограничения, которые мы рассмотрим далее.

Как известно, с помощью классификаторов можно выделять трафик по разным частям пакета (разным полям пакета). Когда создается классификатор, просматривающий некую часть пакета, занимается 1 слот (условно). Если создается еще классификатор, просматривающий ту же часть пакета, то он занимает тот же слот. Если же классификатор выделяет трафик по другому параметру, то он занимает второй слот. Всего может быть задействовано 7 слотов.

В коммутаторах серии GS-30xx и GS-40xx имеется ограничение в 7 слотов. В коммутаторах XGS и MGS этих ограничений нет. Число слотов также может зависеть от микропрограммного обеспечения. Для других коммутаторов вы можете проверить это следующей командой в zynos mode "bcm dump gimask". Если параметр FMASK=0, то ограничений нет.

Приведем пример.

Задача следующая. Есть VLAN 22. В нем со стороны пользователей должны ходить только адреса 10.100.0.0/16 и только протоколы TCP, UDP, ICMP. Все остальное должно блокироваться. Также при этом должны блокироваться адреса источников 10.100.255.255 и 255.255.255.255, но на 255.255.255.255 должен быть доступен порт UDP 27015. Интернет у пользователей должен работать. Порт 12 является Uplink.

Вот пример конфигурации для настройки классификаторов:

classifier v22-all vlan 22
classifier v22-arp vlan 22 ethernet-type arp
classifier v22-169.254 vlan 22 ethernet-type ip source-ip 169.254.0.0 mask-bits 16
classifier v22-172.16 vlan 22 ethernet-type ip source-ip 172.16.0.0 mask-bits 12
classifier v22-192.168 vlan 22 ethernet-type ip source-ip 192.168.0.0 mask-bits 16
classifier v22-icmp vlan 22 ethernet-type ip ip-protocol icmp source-ip 10.100.0.0 mask-bits 16
classifier v22-tcp vlan 22 ethernet-type ip ip-protocol tcp source-ip 10.100.0.0 mask-bits 16
classifier v22-udp vlan 22 ethernet-type ip ip-protocol udp source-ip 10.100.0.0 mask-bits 16
classifier v22-10.100.255.255 vlan 22 ethernet-type ip destination-ip 10.100.255.255 mask-bits 32
classifier v22-broadcast vlan 22 ethernet-type ip destination-ip 255.255.255.255 mask-bits 32
classifier v22-UL vlan 22 ethernet-type ip source-port 12 destination-ip 10.100.0.0 mask-bits 16
classifier udp-port-27015 vlan 22 ethernet-type ip ip-protocol udp destination-ip 255.255.255.255 mask-bits 32 destination-socket 27015

Рассмотрим подробнее:

Слот 1: Проверка поля VLAN ID в пакетах.
classifier v22-all vlan 22

Слот 2: Проверка двух полей VLAN ID и Ethernet type в пакетах.
classifier v22-arp vlan 22 ethernet-type arp

Слот 3: Проверка четырех полей VLAN ID, Ethernet type, Source IP Address и mask-bits в пакетах.
classifier v22-169.254 vlan 22 ethernet-type ip source-ip 169.254.0.0 mask-bits 16
classifier v22-192.168 vlan 22 ethernet-type ip source-ip 192.168.0.0 mask-bits 16

Слот 4: Проверка другого значения mask-bits.
classifier v22-172.16 vlan 22 ethernet-type ip source-ip 172.16.0.0 mask-bits 12

Слот 5: Проверка пяти полей VLAN ID, Ethernet type, IP procotol, Source IP и mask-bits.
classifier v22-icmp vlan 22 ethernet-type ip ip-protocol icmp source-ip 10.100.0.0 mask-bits 16
classifier v22-tcp vlan 22 ethernet-type ip ip-protocol tcp source-ip 10.100.0.0 mask-bits 16
classifier v22-udp vlan 22 ethernet-type ip ip-protocol udp source-ip 10.100.0.0 mask-bits 16


Слот 6: Проверка Destination IP вместо Source IP.
classifier v22-10.100.255.255 vlan 22 ethernet-type ip destination-ip 10.100.255.255 mask-bits 32
classifier v22-broadcast vlan 22 ethernet-type ip destination-ip 255.255.255.255 mask-bits 32

Слот 7: Проверка полей VLAN ID, Source port, Destination IP и mask-bits.
classifier v22-UL vlan 22 ethernet-type ip source-port 12 destination-ip 10.100.0.0 mask-bits 16

Слот 8: Проверка полей VLAN ID, Ethernet typs, IP protocol, Destination IP, mask-bits и Destination socket.
classifier udp-port-27015 vlan 22 ethernet-type ip ip-protocol udp destination-ip 255.255.255.255 mask-bits 32 destination-socket 27015

Из конфигурации видно, что последняя запись классификатора не будет применена, т.к. используются все 7 слотов. Т.е. в нашем примере ограничение в 7 слотов превышено.

Также обращаем ваше внимание, что существует аппаратное ограничение чипсета коммутатора, которое позволяет использовать в классификаторах только 6-7 различных масок.

KB-1866

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0