交换机配置ACL怎么省设备资源
- 0关注
- 0收藏,741浏览
问题描述:
ACL资源规则总是是根据Rule条目数是来判断ACL规则数,还是根据Rule内源目的地址范围来判断规则数。
现网需要写大量的ACL限制,设备性能资源受限,怎么写能的更多。
例如1多个子网分开写:
rule 1 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 2 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 3 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 4 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 5 ...
rule 6 ...
例如2多个子网合并为一个子网:
rule 1 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.10.0 0.0.0.255
例如1和例如2哪个条目占用资源数更多。
例如3结尾使用大段全部放通:
rule 1 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 2 permit ip source 192.168.0.0 0.0.255.255
rule 3 permit ip destination 192.168.0.0 0.0.255.255
例如4结尾不精确到子网:
rule 1 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 2 permit ip
在例如3和例如4哪个条目占用资源数更多。
例如5每条规则包含源目的地址:
rule 1 permit ip source 192.168.0.1 0 destination 192.168.10.0 0.0.0.255
rule 2 permit ip source 192.168.0.2 0 destination 192.168.10.0 0.0.0.255
rule 3 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
rule 4 ...
rule 5 ...
例如6只写源或者目的:
rule 1 permit ip source 192.168.0.1 0
rule 2 permit ip source 192.168.0.2 0
rule 3 permit ip
destination 192.168.1.0 0.0.0.255
rule 4 ...
rule 5 ...
组网及组网描述:
- 2023-03-01提问
- 举报
-
(0)
最佳答案
只匹配源目IP的acl,每一条rule占用的基本资源是一样的,所以rule越少越好,不用管具体怎么匹配的;如果加上range、port等匹配字段,每条rule占用的资源可能会翻倍,但总体思路都是rule越少占用越少。
此外在调用acl时,vlan-int下调用占用的资源最少
- 2023-03-01回答
- 评论(2)
- 举报
-
(0)
destination-port range 5900 5999 destination-port range 6000 6010 占用的资源是一样的吗,还是说第一条会占用100条的资源。
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
是一样的,只是相比没配range的占用得会多,一般不建议配range