Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1337223
  • 博文数量: 464
  • 博客积分: 9399
  • 博客等级: 中将
  • 技术积分: 6364
  • 用 户 组: 普通用户
  • 注册时间: 2011-02-19 09:15
文章分类

全部博文(464)

文章存档

2014年(12)

2013年(123)

2012年(173)

2011年(156)

我的朋友

分类:

2012-09-03 11:28:17

.安全
    分几种情况:应用端口,acl类型,应用方向(inout)

                                                选择引擎模式    一条ace占用表项数

1.IP
标准acl

(1)out
方向应用

DOUBLE
2


(2)in
方向

a.
应用在SVI口上
DOUBLE
2


b.
SVI
single
1



2.IP
扩展acl

(1)out
方向应用
DOUBLE
2


(2)in
方向

a.
应用在SVI口上
DOUBLE
2


b.
SVI

if
匹配tcp/udp端口"范围"
DOUBLE
2


else
single
1


3.mac
扩展acl

(1)out
方向应用

DOUBLE
2


(2)in
方向
single
1



4.
专家级

(1)
根据匹配域的大小不同情况也不一样,可以根据匹配域的大小参考上面三种情况


5.ipv6 acl


(1)out
方向应用
DOUBLE
2


(2)in方向  根据匹配域不同有差别

a.
只匹配源或目的IP,应用接口为非svi
single
1


b.
源目的IP均不匹配且应用接口为非svi
single
1


c.
其他
DOUBLE
2

     

各交换口应用acl时, 如果acl相同,可以共享表项

SVI
口应用acl时由于需要匹配vid,各svi应 用相同acl时无法实现表项共享

. Qos应用

1. class map
policy map应用
        根据关联的acl的类型和应用的接口参考acl情况(qos不在三层口上应用)

2.
信任模式


信任模式应用在优先级最低的引擎上,初始化时就会占有一条表项,用于实现全局的trust_no
       不过引擎可以与其他应用共享,信任模式最多会占用三条表项
   
    对于qos应 用,如果有关联meter,即使端口应用acl和策略均相同,各端口也不
    共享表项
.全局IP+mac绑 定
    选用引擎为单引擎,每个绑定地址消耗2个表项

.端口安全地址绑定
  选用引擎为单引擎,每个绑定地址消耗1个表项

.策略路由
    选用引擎模式为double,占有的ace数目分两种情况

1.
策略路由优先级高于普通路由且ace项行为为deny情况  4条表项

2.
其他 2条表项

.IP防扫描情况
    选用引擎为单引擎,每个隔离IP占用一条表项

阅读(1261) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~