C7609之ACL匹配问题

简介:
近期在做一个ACL的时候,由于匹配同一段目的地的端口太多,所以就采用了多端口写于同一个ACE的办法。如下:
ip access-list extended fromv20 
10 permit tcp any 1.1.1.0 0.0.0.255 eq 11 22 33 44 55 66 77 88 
20 permit tcp any 1.1.1.0 0.0.0.255 log 
int vlan 20 
ip access-group fromv20 in 
log ip access-list cache in 
end
结果发现很多tcp66端口匹配的log记录,如下。但是10的ACE根本就没有打log,由于log没有输出是匹配的哪条ACE,所以不能明确的确定此记录是匹配的10还是20。不过,我在2960的IOS上做了将多个tcp端口集合写在一条ACE是可以的。 
1469305: Mar 15 21:15:41.098 CST: %AFLSEC-6-OALP: permitted tcp 2.2.2.2(38315) -> 1.1.1.1(66), 1 packet 
1469306: Mar 15 21:15:41.854 CST: %AFLSEC-6-OALP: permitted tcp 2.2.2.2(36761) -> 1.1.1.1(66), 1 packet
将符合条件的多个端口写在一条ACE仅有如下优点: 
1,减少ACE条目便于维护管理; 
2,不能减少TCAM的hash表数,这个已经通过实验证明(查看 http://ipneter.blog.51cto.com/341177/283556)。
后续查询cisco的ios bug库,发现如下bug。说明上述情况为IOS的一个bug: 
image









本文转自 chris_lee 51CTO博客,原文链接:http://blog.51cto.com/ipneter/299231,如需转载请自行联系原作者

目录
相关文章
|
5天前
|
网络协议 安全 网络性能优化
了解访问控制列表 (ACL):概念、类型与应用
了解访问控制列表 (ACL):概念、类型与应用
16 2
|
4月前
|
算法 网络协议 网络性能优化
|
3月前
|
网络安全 数据安全/隐私保护 网络架构
|
4月前
|
机器学习/深度学习 人工智能
ACL 2024 | CoCA:自注意力的缺陷与改进
CodeFuse团队从一个全新的视角,剖析了传统的 Transformer架构在长文本推理的糟糕表现,并给出了相应的解决方案
113 1
|
6月前
|
网络协议 SDN 数据安全/隐私保护
【每日一记】ACL基本概念(匹配流量、路由条目、书写、规则.....)
【每日一记】ACL基本概念(匹配流量、路由条目、书写、规则.....)
519 1
|
数据安全/隐私保护
访问控制列表 扩展ACL+命名ACL+实战小实验
访问控制列表 扩展ACL+命名ACL+实战小实验
120 0
访问控制列表 扩展ACL+命名ACL+实战小实验
|
网络协议 数据安全/隐私保护 网络架构
CCNA-ACL(访问控制列表)标准ACL 扩展ACL 命名ACL(上)
CCNA-ACL(访问控制列表)标准ACL 扩展ACL 命名ACL(上)
191 0
CCNA-ACL(访问控制列表)标准ACL 扩展ACL 命名ACL(上)
|
网络协议 数据安全/隐私保护
ACL访问控制列表 基础、创建ACL访问控制列表的两种方式、配置ACL访问控制列表规则、修改ACL规则的默认步长。子网掩码、反掩码、通配符掩码的区别和作用。
ACL访问控制列表、创建ACL访问控制列表的两种方式、配置ACL访问控制列表规则、修改ACL规则的默认步长。子网掩码、反掩码、通配符掩码的区别和作用。ACL匹配机制详解。ACL的分类与标识,各种ACL的作用区别
ACL访问控制列表 基础、创建ACL访问控制列表的两种方式、配置ACL访问控制列表规则、修改ACL规则的默认步长。子网掩码、反掩码、通配符掩码的区别和作用。
|
网络协议 安全 网络安全
ACL:是什么?目的?使用场景?
ACL:是什么?目的?使用场景?
1405 0
ACL:是什么?目的?使用场景?