博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
C7609之ACL匹配问题
阅读量:5880 次
发布时间:2019-06-19

本文共 797 字,大约阅读时间需要 2 分钟。

近期在做一个ACL的时候,由于匹配同一段目的地的端口太多,所以就采用了多端口写于同一个ACE的办法。如下:
ip access-list extended fromv20 
10 permit tcp any 1.1.1.0 0.0.0.255 eq 11 22 33 44 55 66 77 88 
20 permit tcp any 1.1.1.0 0.0.0.255 log 
int vlan 20 
ip access-group fromv20 in 
log ip access-list cache in 
end
结果发现很多tcp66端口匹配的log记录,如下。但是10的ACE根本就没有打log,由于log没有输出是匹配的哪条ACE,所以不能明确的确定此记录是匹配的10还是20。不过,我在2960的IOS上做了将多个tcp端口集合写在一条ACE是可以的。 
1469305: Mar 15 21:15:41.098 CST: %AFLSEC-6-OALP: permitted tcp 2.2.2.2(38315) -> 1.1.1.1(66), 1 packet 
1469306: Mar 15 21:15:41.854 CST: %AFLSEC-6-OALP: permitted tcp 2.2.2.2(36761) -> 1.1.1.1(66), 1 packet
将符合条件的多个端口写在一条ACE仅有如下优点: 
1,减少ACE条目便于维护管理; 
2,不能减少TCAM的hash表数,这个已经通过实验证明(查看 )。
后续查询cisco的ios bug库,发现如下bug。说明上述情况为IOS的一个bug: 
本文转自 chris_lee 51CTO博客,原文链接:http://blog.51cto.com/ipneter/299231,如需转载请自行联系原作者
你可能感兴趣的文章
powershell 学习------hpyer-v 虚拟机优化(自动备份,压缩磁盘)
查看>>
CentOS 7安装部署Rsync数据同步服务器
查看>>
ubuntu文件名中文乱码
查看>>
观《五星大饭店》有感
查看>>
右键 open with sublime
查看>>
VMWare Workstation 虚拟机NAT网络
查看>>
java常用工具——jhat
查看>>
深刻理解Linux进程间通信(IPC)
查看>>
老男孩最近几年常用的免费的开源软件
查看>>
计算字符串中回文子串的个数 Palindromic Substrings
查看>>
Python脚本通过邮件发送zabbix报警图片
查看>>
java线上服务故障分析笔记
查看>>
做人与做事的心态
查看>>
css兼容性问题(四)
查看>>
Configure SNMP Settings for vCenter
查看>>
出现“连接到服务器失败。错误: 0x80080005”错误的解决办法
查看>>
我的友情链接
查看>>
python面向对象(二)
查看>>
mysql的安装
查看>>
我的友情链接
查看>>