问题描述

• H3C交换机ACL部分规则不生效问题

• H3C交换机配置ACL后，规则在100+左右，约10个接口下调用后，单独 permit 4个指定源、目IP地址的流量。但是只有前2个生效，后边2个相同的配置不生效。

问题原因

• ACL性能不够的问题

dis qos-acl resource

• 如上图，IPCL ACL为入ACL，EPCL ACL为出ACL，如果Useage 100% 后在增加rule，则不生效，命中计数会显示 Failed，如在10个接口inbound、5个接口的outbound调用了某个ACL，在此ACL增加一个rule，对应的入ACL会+10，出ACL会+5。

解决办法

• 精简ACL

• 出和入均能达到目的的话，均衡使用两个方向调用ACL