Привет всем,
Подскажите сколько ACL держит эта циска?
В даташите написано "1000 access control entries (ACEs) are supported"
Это максимальное число записей вообще или это число записей на один лист(и сколько тогда всего листов можно создать)?Спасибо
>Привет всем,
>Подскажите сколько ACL держит эта циска?
>В даташите написано "1000 access control entries (ACEs) are supported"
>Это максимальное число записей вообще или это число записей на один лист(и
>сколько тогда всего листов можно создать)?
>
>СпасибоПростите, а с чем связан такой вопрос? Вы отдаете себе отчет, что каждая строчка в списке вносит некоторую задержку в работу, т.к. они последовательно проверяются каждый раз от начала до нахождения соответсвия? Зачем вам 1000 списков доступа?
>[оверквотинг удален]
>>В даташите написано "1000 access control entries (ACEs) are supported"
>>Это максимальное число записей вообще или это число записей на один лист(и
>>сколько тогда всего листов можно создать)?
>>
>>Спасибо
>
>Простите, а с чем связан такой вопрос? Вы отдаете себе отчет, что
>каждая строчка в списке вносит некоторую задержку в работу, т.к. они
>последовательно проверяются каждый раз от начала до нахождения соответсвия? Зачем вам
>1000 списков доступа?Нужно заблокировать 3000 компам доступ к сети.
Я как подумал- в один extended ACL запихать их всех на блокировку. И вот спрашиваю можно ли больше чем 1000 записей внести в список. Или есть какие-то другие способы блокировки такого кол-ва компьютеров?
>[оверквотинг удален]
>>
>>Простите, а с чем связан такой вопрос? Вы отдаете себе отчет, что
>>каждая строчка в списке вносит некоторую задержку в работу, т.к. они
>>последовательно проверяются каждый раз от начала до нахождения соответсвия? Зачем вам
>>1000 списков доступа?
>
>Нужно заблокировать 3000 компам доступ к сети.
>Я как подумал- в один extended ACL запихать их всех на блокировку.
>И вот спрашиваю можно ли больше чем 1000 записей внести в
>список. Или есть какие-то другие способы блокировки такого кол-ва компьютеров?а объединить в одну/десять подсетей и записать одной/десять строк что не позволяет?
>[оверквотинг удален]
>>>последовательно проверяются каждый раз от начала до нахождения соответсвия? Зачем вам
>>>1000 списков доступа?
>>
>>Нужно заблокировать 3000 компам доступ к сети.
>>Я как подумал- в один extended ACL запихать их всех на блокировку.
>>И вот спрашиваю можно ли больше чем 1000 записей внести в
>>список. Или есть какие-то другие способы блокировки такого кол-ва компьютеров?
>
>а объединить в одну/десять подсетей и записать одной/десять строк что не позволяет?
>нет, компьютеры из разных подсетей и объединить нельзя. И в любой момент они скриптом могут быть удалены из списка, поэтому асл так удобно выглядит. Мб быть есть какой-то аналог object groups ?
>[оверквотинг удален]
>>>Я как подумал- в один extended ACL запихать их всех на блокировку.
>>>И вот спрашиваю можно ли больше чем 1000 записей внести в
>>>список. Или есть какие-то другие способы блокировки такого кол-ва компьютеров?
>>
>>а объединить в одну/десять подсетей и записать одной/десять строк что не позволяет?
>>
>
>нет, компьютеры из разных подсетей и объединить нельзя. И в любой момент
>они скриптом могут быть удалены из списка, поэтому асл так удобно
>выглядит. Мб быть есть какой-то аналог object groups ?# sh sdm prefer
# sh sdm prefer access
там будет что-то около 2К ACEsделаете
conf t
sdm prefer access
reloadПолучаете примерно 2К ACEs. Больше в TCAM не засунуть. Т.е. только такое количество ACEов будет работать быстро.
Если будет больше - пойдет на CPU и тогда привет :(
>[оверквотинг удален]
>
>делаете
>conf t
>sdm prefer access
>reload
>
>Получаете примерно 2К ACEs. Больше в TCAM не засунуть. Т.е. только такое
>количество ACEов будет работать быстро.
>
>Если будет больше - пойдет на CPU и тогда привет :(И будьте внимательнее - это не запросто так дается - там все цифирки приведены, чего вы лишаетесь :)
>[оверквотинг удален]
>
>делаете
>conf t
>sdm prefer access
>reload
>
>Получаете примерно 2К ACEs. Больше в TCAM не засунуть. Т.е. только такое
>количество ACEов будет работать быстро.
>
>Если будет больше - пойдет на CPU и тогда привет :(Кстати, более чем уверен (но в доке не искал) что имеются ввиду standard ACL (не extendent)
>[оверквотинг удален]
>>sdm prefer access
>>reload
>>
>>Получаете примерно 2К ACEs. Больше в TCAM не засунуть. Т.е. только такое
>>количество ACEов будет работать быстро.
>>
>>Если будет больше - пойдет на CPU и тогда привет :(
>
>Кстати, более чем уверен (но в доке не искал) что имеются ввиду
>standard ACL (не extendent)За это спасибо,
а все же, кто-нибудь точно знает то ограничение в 1000 ACE- это ограничения на 1000 обычных ACL или на 1000 максимальных записей в extented ACL(а потом таких списков можно сделать 3 и получить в итоге 3*1000 ACE) ?
>[оверквотинг удален]
>>>Если будет больше - пойдет на CPU и тогда привет :(
>>
>>Кстати, более чем уверен (но в доке не искал) что имеются ввиду
>>standard ACL (не extendent)
>
>За это спасибо,
>а все же, кто-нибудь точно знает то ограничение в 1000 ACE- это
>ограничения на 1000 обычных ACL или на 1000 максимальных записей в
>extented ACL(а потом таких списков можно сделать 3 и получить в
>итоге 3*1000 ACE) ?Это ограничение на _общее_ число ACE - не важно сколько ACL. Еще раз - не уверен что extended. По логике 1 уче ACE = 2 std ACE. Но не уверен.
Начните заполнять switch ACLками и проверяйте доступное место в TCAM так
# sh platform acl usage 0
И вообще есть много статистики
sh platform acl ?