二.安全
分几种情况:应用端口,acl类型,应用方向(in或out)
选择引擎模式 一条ace占用表项数
1.IP标准acl
(1)out方向应用
DOUBLE
2
(2)in方向
a.应用在SVI口上
DOUBLE
2
b.非SVI口
single
1
2.IP扩展acl
(1)out方向应用
DOUBLE
2
(2)in方向
a.应用在SVI口上
DOUBLE
2
b.非SVI口
if 匹配tcp/udp端口"范围"
DOUBLE
2
else
single
1
3.mac扩展acl
(1)out方向应用
DOUBLE
2
(2)in方向
single
1
4.专家级
(1)根据匹配域的大小不同情况也不一样,可以根据匹配域的大小参考上面三种情况
5.ipv6 acl
(1)out方向应用
DOUBLE
2
(2)in方向 根据匹配域不同有差别
a.只匹配源或目的IP,应用接口为非svi口
single
1
b.源目的IP均不匹配且应用接口为非svi口
single
1
c.其他
DOUBLE
2
各交换口应用acl时, 如果acl相同,可以共享表项
SVI口应用acl时由于需要匹配vid,各svi应 用相同acl时无法实现表项共享
三. Qos应用
1. class map和policy map应用
根据关联的acl的类型和应用的接口参考acl情况(qos不在三层口上应用)
2. 信任模式
信任模式应用在优先级最低的引擎上,初始化时就会占有一条表项,用于实现全局的trust_no,
不过引擎可以与其他应用共享,信任模式最多会占用三条表项
对于qos应 用,如果有关联meter,即使端口应用acl和策略均相同,各端口也不
共享表项
四.全局IP+mac绑 定
选用引擎为单引擎,每个绑定地址消耗2个表项
五.端口安全地址绑定
选用引擎为单引擎,每个绑定地址消耗1个表项
六.策略路由
选用引擎模式为double,占有的ace数目分两种情况
1.策略路由优先级高于普通路由且ace项行为为deny情况 需4条表项
2.其他 2条表项
七.IP防扫描情况
选用引擎为单引擎,每个隔离IP占用一条表项
阅读(1261) | 评论(0) | 转发(0) |