告警信息

子接口包过滤配置下发失败或配置刷新失败：

提示资源低于阈值：

问题描述

现场开局，使用SR8808HX（Version 7.1.075, Release 8261P29）替换之前的交换机，在大量子接口配置包过滤，提示资源不足、配置下发失败，相关ACL是关闭部分vpn实例相关端口的服务，如下：

过程分析

一般此类问题的解决方向有两个：1、优化ACL配置；2、用高规格板卡。

针对现场现象可从下面几个思路进行ACL配置优化：

1、现场acl的rule规则定义了明细的源端口和目的端口，子接口双向做包过滤，acl相关规格是rule写的越长占用资源越多，所以只定义源端口或者目的端口规则进行包过滤；

2、acl 3000、3001、3003除了vpn实例不同之外，其他信息都一致，若将acl 3000、3001、3003合并直接在主接口上调用包过滤，也可以减少资源占用。

(这里的话其实大家会存在一个疑问，在接口做的包过滤是否会在子接口生效，而且咱们的SR88对于QOS是有限制必须配置在子接口。

SR88的Qos下发在哪？

如果是子接口，不管聚合还是非聚合，均需要下发在子接口。 VLAN虚接口均需要下发在成员端口。)

3、设备支持全局包过滤，设备只对部分端口流量做限制，可大大减少资源占用。

解决方法

现场采用全局包过滤方式实现需求，包过滤配置在子接口正常生效。