0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

ACL资源不足时该如何去优化?

电子工程师 来源:华为产品资料 作者:华为产品资料 2021-05-06 10:13 次阅读

很多业务都会占用ACL资源,而设备的ACL资源是有限的,当ACL资源不足时,则会导致业务应用ACL失败或产生ACL资源不足告警。换设备嘛领导不同意,不换设备有什么办法吗?

本文以V200R019C10版本的华为S5732-H系列交换机为例,介绍了ACL资源的基本原理,ACL资源不足的原因,并通过一个例子,讲解了ACL资源优化方法。不同款型及版本之间的ACL资源原理和规格可能存在差异,请以实际设备为准。

ACL资源的基本原理

通常情况下,当用户配置ACL相关的业务时,需要先创建ACL并配置rule规则,随后在全局、VLAN接口视图下应用ACL。当业务下发成功后,这些rule规则就会占用ACL资源。

通常我们可以通过以下公式简单计算或预估ACL资源占用数量:

ACL资源占用数量=rule规则数量×业务应用位置的数量×业务应用方向的数量

rule规则数量:一般情况下,一条rule规则会占用一条ACL资源。如果一条rule规则中指定了TCP/UDP端口号范围时,一条rule规则可能会按照拆分成多条规则下发,进而占用多条ACL资源。具体拆分规则可通过display acl division命令指定相应的端口号范围进行查看。

业务应用位置的数量:业务应用的接口数量或VLAN数量,应用到全局时为记为1。

业务应用方向的数量:业务应用到入方向或出方向时记为1,出入方向都应用时记为2。

说明:

部分业务在不需要配置rule规则的情况下也会隐式地下发rule规则,这些不通过配置rule规则占用ACL资源的业务不在本文的讨论范围之内,如黑名单等安全类业务,流量抑制、CPCAR等流量限速业务,上送CPU的报文统计、VLAN的流量统计等流量统计业务。

为了更加直观地介绍如何计算ACL资源占用数量,下面我们通过举例观察设备ACL资源信息变化:1. 首先,查看设备的ACL模块的资源信息。可以看到“ACL Unallocated”字段显示设备未分配ACL资源共有4096条,“ACLAllocated”字段显示设备已分配ACL资源共有512条,其中Sec安全类业务已使用146条,设备ACL资源总数量为4608条。

7255bc36-ad3c-11eb-bf61-12bb97331649.png

2. 配置ACL 3000。ACL 3000中包含2条rule规则,并将ACL 3000应用到接口GE0/0/1和GE0/0/2的入方向。

#

acl number 3000

rule 5 permit ip destination 0.0.0.1255.255.255.0

rule 10 permit ip destination 0.0.0.2255.255.255.0

#

interface GigabitEthernet0/0/1

traffic-filter inbound acl 3000

#

interface GigabitEthernet0/0/2

traffic-filter inbound acl 3000

#3. 再次查看ACL资源信息。“Ingress ACL”字段显示设备入方向ACL资源占用数量为2(rule规则数量)×2(接口数量)×1(入方向)=4。

72606924-ad3c-11eb-bf61-12bb97331649.png

ACL资源不足的原因导致ACL资源不足的原因主要有如下两个:原因一:配置使用ACL资源的冗余业务过多

很多业务配置以后长时间不生效或不使用,持续占用大量ACL资源。例如流策略业务、基于ACL的简化流策略业务、本机防攻击业务、iPCA业务等。

原因二:配置使用ACL资源的业务时规划不精细

以下几种情况都会导致ACL资源占用数量成倍增长:

配置的rule规则数量过多,没有考虑rule规则合并。

业务应用范围过大,将业务应用到过多的接口或VLAN上。

业务应用的范围有重叠,相同业务同时应用到全局、VLAN和接口上。

ACL资源的优化方法对于使用ACL资源的冗余业务过多的情况,可以排查已配置的ACL相关业务,删除其中长时间不生效或不使用的业务。

本章节着重介绍规划ACL相关业务的配置不精细导致ACL资源不足的优化方法,从而在不影响业务的情况下精简业务所占用的ACL资源。为了更好的理解如何优化ACL资源,本章节以流策略业务为例进行介绍。

优化前,某流策略所绑定的ACL中包含1000条rule规则,并且该流策略应用在4个接口的入方向上,则该业务需要占用的ACL资源为1000(rule规则数量)×4(接口数量)×1(入方向)=4000,但当前设备剩余的ACL资源仅为3000,小于该流策略所需的ACL资源4000,因此当前该业务无法成功下发。对应的配置文件如下:

#

acl number 3000

rule 1 permit ip source 10.1.1.1 0destination 10.10.1.1 0

。。。 //此处省略rule规则的具体配置

rule 1000 ip source 192.168.10.1 32

#

traffic classifier c1 operator and precedence 5

if-match acl 3000

#

traffic behavior b1

permit

statistic enable

#

traffic policy p1 match-order config

classifier c1 behavior b1

#

interface GigabitEthernet1/0/1

port link-type access

port default vlan 10

traffic-policy p1 inbound

#

interface GigabitEthernet1/0/2

port link-type access

port default vlan 10

traffic-policy p1 inbound

#

interface GigabitEthernet1/0/3

port link-type access

port default vlan 20

traffic-policy p1 inbound

#

interface GigabitEthernet1/0/4

port link-type access

port default vlan 20

traffic-policy p1 inbound

#

接下来,通过以下三种方法,就可以将该流策略所需占用的ACL资源减少到3000以下,从而满足配置该流策略的ACL资源需求。

1. 推荐先尝试使用方法一,合并rule规则,减少rule规则数量。

2. 在已经使用方法一的基础上,可以继续使用方法二或方法三,进一步减少ACL资源的使用数量。如果对ACL资源精简数量要求较高,推荐将应用在接口的业务调整至全局,或者配置基于流ID的流策略;如果对ACL资源精简数量要求不高,且应用流策略的接口数量大于接口所属VLAN的数量,推荐将应用在接口的业务调整至VLAN。

表1-1 方法二与方法三的比较

728a220a-ad3c-11eb-bf61-12bb97331649.png

方法一:合并rule规则,减少rule规则数量

分析各rule规则公用的匹配项,找出各规则之间的联系。

本例中的1000条rule规则中包含以下内容:

#

acl number 3000

rule 1 permit ip source 10.1.1.1 0destination 10.10.1.1 0

rule 2 permit ip source 10.1.1.2 0destination 10.10.1.1 0

rule 3 permit ip source 10.1.1.3 0destination 10.10.1.1 0

。。。

rule 255 permit ip source 10.1.1.255 0destination 10.10.1.1 0

rule 256 permit ip source 10.1.2.1 0destination 10.10.1.1 0

rule 256 permit ip source 10.1.2.2 0destination 10.10.1.1 0

rule 256 permit ip source 10.1.2.3 0destination 10.10.1.1 0

。。。

rule 510 permit ip source 10.1.2.255 0destination 10.10.1.1 0

。。。

rule 801 deny tcp destination-port eqwww //80端口

rule 802 deny tcp destination-port eq81

rule 803 deny tcp destination-port eq82

。。。

rule 830 deny tcp destination-port eqpop2 //109端口

rule 831 deny tcp destination-port eqpop3 //110端口

。。。

rule 1000 xxx

# 首先,可以通过合并网段来合并rule规则,将rule 1~rule510合并成以下两条规则。rule 1~rule 510均匹配报文的源IP地址和目的IP地址,且源IP地址覆盖了10.1.1.0/24和10..2.0/24两个网段的所有地址(真实组网中,一般不会通过rule匹配一个网段的所有IP地址,可以结合掩码拆分成多个网段),因此可以将合并成以下两条规则:#

acl number 3000

rule 1 permit ip source 10.1.1.00.0.0.255 destination 10.10.1.1 0

rule 2 permit ip source 10.1.2.00.0.0.255 destination 10.10.1.1 0

。。。

# 其次,可以通过range比较符合并端口号来合并rule规则,将rule 801~rule831合并成一条规则。由于rule 801~rule 831均用到了匹配项TCP目的端口号,且端口号范围覆盖了80~110整个号段,因此可以合并成一条规则(通过display acl division命令可以查看80~110端口号之间rule规则会拆成5条下发):#

acl number 3000

。。。

rule 801 deny tcp destination-port range80 110

。。。

#

合并规则后,上例中的规则减少到462条,实际下发的规则为466条,占用的ACL资源数量为1864。计算过程为:461(IP地址合并后的rule规则数量)×4(接口数量)×1(入方向)+1(端口号合并后的rule规则数量)×5(按range拆分后的rule规则数量)×4(接口数量)×1(入方向)=1864,小于设备剩余的ACL资源数量(3000条),因此能够满足配置该流策略的ACL资源需求。

通过方法一合并rule规则为466条后,还可以在此基础上通过方法二或者方法三进一步精简ACL资源。

方法二:调整业务应用范围,减少业务应用位置的数量

在通过方法一合并rule规则后,可以选择以下任意一种方式,调整业务应用范围,从而继续精简ACL资源数量。

将应用在接口的业务调整至VLAN

如果应用流策略的接口数量大于这些接口所属VLAN的数量,且未应用流策略的接口均不属于这些VLAN,则可以将流策略应用到这些接口所属的VLAN下。调整应用范围后的ACL资源占用数量为rule规则数量×VLAN数量,小于之前的rule规则数量×接口数量。否则,建议将应用在接口的业务调整至全局。

由前文流策略中的配置可知,GE1/0/1和GE1/0/2属于VLAN10,GE1/0/3和GE1/0/4属于VLAN 20,其他接口均不属于VLAN 10和VLAN 20,此时VLAN的数量小于接口的数量,则可以将流策略应用在VLAN 10和VLAN 20下。在通过方法一优化后、通过本方法优化前,对应的配置文件如下:#

acl number 3000

rule 1 permit ip source 10.1.1.00.0.0.255 destination 10.10.1.1 0

rule 2 permit ip source 10.1.2.00.0.0.255 destination 10.10.1.1 0

。。。

rule 801 deny tcp destination-port range80 110

。。。

rule 1000 ip source 192.168.10.1 32

#

traffic classifier c1 operator and precedence 5

if-match acl 3000

#

traffic behavior b1

permit

statistic enable

#

traffic policy p1 match-order config

classifier c1 behavior b1

#

interface GigabitEthernet1/0/1

port link-type access

port default vlan 20

traffic-policyp1 inbound

#

interface GigabitEthernet1/0/2

port link-type access

port default vlan 20

traffic-policyp1 inbound

#

interface GigabitEthernet1/0/3

port link-type access

port default vlan 20

traffic-policyp1 inbound

#

interface GigabitEthernet1/0/4

port link-type access

port default vlan 20

traffic-policyp1 inbound

#在使用方法一的基础上,使用本方法调整后,对应的配置文件如下:#

acl number 3000

rule 1 permit ip source 10.1.1.00.0.0.255 destination 10.10.1.1 0

rule 2 permit ip source 10.1.2.00.0.0.255 destination 10.10.1.1 0

。。。

rule 801 deny tcp destination-port range80 110

。。。

rule 1000 ip source 192.168.10.1 32

#

traffic classifier c1 operator and precedence 5

if-match acl 3000

#

traffic behavior b1

permit

statistic enable

#

traffic policy p1 match-order config

classifier c1 behavior b1

#

vlan 10

traffic-policyp1 inbound

#

vlan 20

traffic-policyp1 inbound

#

interface GigabitEthernet1/0/1

port link-type access

port default vlan 20

#

interface GigabitEthernet1/0/2

port link-type access

port default vlan 20

#

interface GigabitEthernet1/0/3

port link-type access

port default vlan 20

#

interface GigabitEthernet1/0/4

port link-type access

port default vlan 20

#调整后,ACL资源占用数量降低到932条,在合并rule规则的基础上进一步减少了ACL资源需求数量。计算过程为:466(rule规则数量)×2(VLAN数量)×1(入方向)=932。

将应用在接口的业务调整至全局

可以将流策略应用到全局,并在不应用该流策略的接口下各配置一条让全局的配置不生效的流策略,利用接口优先级大于全局优先级的原则,实现相同的配置效果。

由前文流策略中的配置可知,需要在接口的GE1/0/1~GE1/0/4入方向上应用流策略。此时,若仅有接口GE1/0/5的入方向不可以应用该流策略,且其他所有接口的入方向都可以应用该流策略,则可以将该流策略应用到全局,并在接口GE1/0/5上应用分类规则相同的不同流策略(例如流策略p2)。

在使用方法一的基础上,继续使用本方法调整后,对应的配置文件如下:

#

acl number 3000

rule 1 permit ip source 10.1.1.00.0.0.255 destination 10.10.1.1 0

rule 2 permit ip source 10.1.2.00.0.0.255 destination 10.10.1.1 0

。。。

rule 801 deny tcp destination-port range80 110

。。。

rule 1000 ip source 192.168.10.1 32

#

acl number 3001

rule 5 permit ip //匹配所有IP报文

#

traffic classifier c1 operator and precedence 5

if-match acl 3000

#

traffic classifier c2 operator and precedence 10

if-match acl 3001

#

traffic behavior b1

permit

statistic enable

#

traffic behavior b2

permit

#

traffic policy p1 match-order config

classifier c1 behavior b1

#

traffic policy p2 match-order config

classifier c2 behavior b2

#

interface GigabitEthernet1/0/1

port link-type access

port default vlan 20

#

interface GigabitEthernet1/0/2

port link-type access

port default vlan 20

#

interface GigabitEthernet1/0/3

port link-type access

port default vlan 20

#

interface GigabitEthernet1/0/4

port link-type access

port default vlan 20

#

interface GigabitEthernet1/0/5

traffic-policy p2 inbound

#

traffic-policy p1 global inbound

#调整应用范围后的ACL资源占用数量降低到467条,在合并rule规则的基础上进一步减少了ACL资源需求数量。计算过程为:466(rule规则数量)×1(全局)×1(入方向)+1(rule规则数量)×1(接口数量)×1(入方向)=467。该方法一般应用于接入层设备。当设备所有下行接口都应用相同的流策略,且所有上行接口不应用流策略时,则可以将该流策略应用到全局,并在每个上行接口应用与下行接口不相同的流策略,使全局应用的流策略在上行接口不生效。由于下行接口数量通常大于上行接口数量,因此通过该方法可以节省ACL资源。方法三:配置基于流ID的流策略,综合节省ACL资源在方法一的基础上,还可以通过方法三来继续减少ACL资源使用数量。

对于流策略业务,当设备上不同的接口或VLAN需要配置相同的流分类规则并对匹配的报文做相同的动作时,为节省ACL资源,可以将一条流策略拆分成两条,第一条对报文按照ACL分类后重标记每类报文的流ID,第二条按照流ID进行分类并对匹配同一流ID的报文进行相同的处理。该功能仅适用于应用在入方向的流策略。

如果不配置该功能,流策略占用的ACL资源数量为rule规则数量×接口数量(或VLAN数量)×1(入方向);配置该功能后,流策略占用的ACL资源数量为rule规则数量×1(全局)×1(入方向)+1(流ID)×接口数量(或VLAN数量)×1(入方向)。

配置思路如下:

1. 配置ACL,并指定rule规则。

本例中,已经通过方法一合并rule规则。合并后的rule规则如下:

#

acl number 3000

rule 1 permit ip source 10.1.1.00.0.0.255 destination 10.10.1.1 0

rule 2 permit ip source 10.1.2.00.0.0.255 destination 10.10.1.1 0

。。。

rule 801 deny tcp destination-port range80 110

。。。

rule 1000 ip source 192.168.10.1 32

#

2. 配置流分类,按照ACL对报文进行分类。

本例中,已经配置流分类c1,用于匹配符合ACL 3000的报文。

#

traffic classifier c1 operator and precedence 5

if-match acl 3000

#

3. 配置流行为,通过remark flow-id命令重新标记报文的流ID。

配置流行为b3,用于重新标记报文的流ID。例如,重新标记流ID为4。

#

traffic behavior b3

remark flow-id 4

#

4. 配置流策略,绑定已配置的流行为和流分类,并应用到全局。

配置流策略p3,绑定流分类c1和流行为b3,并应用到全局的入方向。

#

traffic policy p3 match-order config

classifier c1 behavior b3

#

traffic-policy p3 global inbound

#5. 配置流分类,通过if match flow-id命令对报文进行分类。

配置流分类c3,匹配流ID为4的报文。

#

traffic classifier c3 operator and precedence 10

if-match flow-id 4

#6. 配置流行为,以便对匹配同一流ID的报文进行相同的处理。

本例中,已经配置流行为b1,用于对报文进行流量统计。

#

traffic behavior b1

statistic enable

#7. 配置流策略,绑定以配置的流行为和流分类,并应用到接口或VLAN上。#

traffic policy p1 match-order config

classifier c3 behavior b1

#

interface GigabitEthernet1/0/1

traffic-policy p1 inbound

#

interface GigabitEthernet1/0/2

traffic-policy p1 inbound

#interface GigabitEthernet1/0/3

traffic-policy p1 inbound

#

interface GigabitEthernet1/0/4

traffic-policy p1 inbound

#最终流策略业务的相关配置如下:#

acl number 3000

rule 1 permit ip source 10.1.1.00.0.0.255 destination 10.10.1.1 0

rule 2 permit ip source 10.1.2.00.0.0.255 destination 10.10.1.1 0

。。。

rule 801 deny tcp destination-port range80 110

。。。

rule 1000 ip source 192.168.10.1 32

#

traffic classifier c1 operator and precedence 5

if-match acl 3000

#

traffic classifier c3 operator and precedence 10

if-match flow-id 4

#

traffic behavior b1

permit

statistic enable

#

traffic behavior b3

remark flow-id 4

#

traffic policy p1 match-order config

classifier c3 behavior b1

#

traffic policy p3 match-order config

classifier c1 behavior b3

#

interface GigabitEthernet1/0/1

port link-type access

port default vlan 10

traffic-policyp1 inbound

#

interface GigabitEthernet1/0/2

port link-type access

port default vlan 10

traffic-policyp1 inbound

#

interface GigabitEthernet1/0/3

port link-type access

port default vlan 20

traffic-policyp1 inbound

#

interface GigabitEthernet1/0/4

port link-type access

port default vlan 20

traffic-policyp1 inbound

#

traffic-policy p3 global inbound

#上述举例中,配置基于流ID的流策略的功能后,占用的ACL资源降低到470条,在合并rule规则的基础上进一步减少了ACL资源需求数量。计算过程为:466(rule规则数量)×1(全局)×1(入方向)+1(流ID)×4(接口数量)×1(入方向)=470条。

最后再复习一下:

1. 首先,推荐先尝试合并rule规则,减少rule规则数量。

2. 其次,如果对ACL资源精简数量要求较高,推荐将应用在接口的业务调整至全局,或者配置基于流ID的流策略;如果对ACL资源精简数量要求不高,且应用流策略的接口数量大于接口所属VLAN的数量,推荐将应用在接口的业务调整至VLAN。

责任编辑:lq6

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 接口
    +关注

    关注

    33

    文章

    8588

    浏览量

    151096
  • 交换机
    +关注

    关注

    21

    文章

    2639

    浏览量

    99588
  • ACL
    ACL
    +关注

    关注

    0

    文章

    61

    浏览量

    11979

原文标题:3步搞定交换机ACL资源不足

文章出处:【微信号:huaweidoc,微信公众号:华为产品资料】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    HarmonyOS Web开发性能优化指导

    的影响因素以及对应的优化方案。 二、Web页面加载性能优化指导 (一)Web页面加载流程 Web页面加载包含网络连接、资源下载、DOM解析、JavaScript代码编译执行和渲染等关键环节,本文主要针对
    发表于 12-06 08:41

    用AIC3254做20段均衡,资源严重不足怎么解决?

    请问,我用AIC3254做20段均衡,资源严重不足。这个怎么办才好。3254貌似只能够做双通道的15段,我想做的是独立通道均衡,比如,我有两个通道输入,每一个通道都想做一个15段均衡独立调节,而
    发表于 11-04 06:26

    华纳云:什么是负载均衡?优化资源利用率的策略

    负载均衡是现代计算机网络架构中不可或缺的一部分,它通过智能分配请求和任务,确保系统资源的高效利用。本文将探讨负载均衡的概念、工作原理、优化资源利用率的策略及其在实际应用中的重要性。 1. 什么是负载
    的头像 发表于 10-28 16:07 152次阅读

    云服务器的购买资源和扩容资源的区别和联系

    云服务器的购买资源和扩容资源的区别和联系主要体现在操作流程、成本控制以及数据管理等方面。购买资源适合初始部署或大规模扩展,而扩容资源更适合对现有系统进行微调和
    的头像 发表于 10-18 11:21 212次阅读

    国内首家!航芯安全芯片ACL16荣获EAL6+证书

    近日,航芯安全芯片ACL16获得了EAL6+安全测评证书,是国内首个通过中国信息安全测评中心EAL6+安全测评的产品,标志着芯片在安全性能上达到国内外先进水平,同时也是对航芯技术实力的有力
    的头像 发表于 10-18 08:06 541次阅读
    国内首家!航芯安全芯片<b class='flag-5'>ACL</b>16荣获EAL6+证书

    优化 FPGA HLS 设计

    一种迭代优化,只要每次迭代都显示出改进,就会不断重复。如果达到时间目标或未能显示出改进,它最终将自动停止。 经过两轮优化,共15次编译,设计能够满足200Mhz的性能目标。这是无需
    发表于 08-16 19:56

    OpenHarmony之开机优化

    PNG或PDF)的图形报表,以便用户进行深入分析。 功能与用途 分析系统启动时间和启动过程中资源的使用情况。 发现可能影响系统启动速度的因素,如某些进程启动缓慢或占用过多资源等。 对系统进行优化,提高
    发表于 07-01 16:39

    mesh的内存占用能否优化

    余110kb可用。 请问,mesh的内存占用问题能否优化?为何系统剩余大概60K0内存以下的时候系统会因内存不足重启?
    发表于 06-28 15:32

    工业级POE交换机的ACL

    工业级POE交换机通常支持访问控制列表(Access Control List,ACL)功能,用于实施网络安全策略。ACL可以根据源IP地址、目标IP地址、传输协议、端口号等条件来过滤和控制网络流量。
    的头像 发表于 04-17 16:14 477次阅读
    工业级POE交换机的<b class='flag-5'>ACL</b>

    访问控制列表什么?ACL的功能特点

    访问控制列表(Access Control List,简称ACL)是一种网络安全机制,用于定义和实施对网络资源或系统对象的访问权限。ACL可以精确地控制哪些主体(如用户、设备、服务等)能够对特定客体
    的头像 发表于 04-03 13:57 751次阅读

    详解耦电容:耦电容的PCB布局布线

    从电源上看,没有耦电容的时候如左侧的波形,加上了耦电容之后变成了右侧的样子,供电电压的波形变得干净了,我们称电容的作用是去掉了耦和在干净的DC上的噪声,所以电容被称之为
    的头像 发表于 03-27 14:08 3504次阅读
    详解<b class='flag-5'>去</b>耦电容:<b class='flag-5'>去</b>耦电容的PCB布局布线

    如何判断LED显示屏黑屏

    我们如何判断LED显示屏黑屏,又该如何去处理好呢?等你看过以下五点后,自然见分晓。
    发表于 03-20 10:05 502次阅读

    优化编译和仿真的VCS使用技巧

    任何事情的选择很难是各个方面都会带来优势,所以需要结合自己的项目权衡应该优化那些方面,哪里是关键的设计,那么选择优化方向。相关建议可以在文件dpo_reco.csv打开查看。
    的头像 发表于 03-08 14:02 1278次阅读
    <b class='flag-5'>优化</b>编译和仿真的VCS使用技巧

    CYW43455带有7ACL 路的设备有什么作用吗?

    我研究了数据表,并在 CYW43455上做了一些实验。 你能帮我找到答案吗? 1.作为CYW43455的数据表,它支持7个ACL链路和3个SCO链路。 我可以知道带有 7ACL 链路的设备有什么作用
    发表于 03-01 09:08

    FPGA资源与AISC对应关系

    情况下,FPGA可以被用作ASIC的原型验证平台,帮助设计师验证和优化ASIC的设计。然而,由于FPGA的灵活性和可重构性,它的资源使用效率通常低于专门为特定任务优化的ASIC。
    发表于 02-22 09:52