lanroot Posted January 30, 2014 Posted January 30, 2014 Всем доброго времени суток! Столкнулся с такой проблемой. Имеем коммутатор 3com 5500G-EI. Необходимо настроить фильтрацию трафика на одном из Ethernet портов. Для этого создается ACL с количеством правил к примеру 20. Затем этот ACL применятеся к порту: [sW5500]dis pa i g 1/0/5 [sW5500]int g 1/0/5 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 1 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 2 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 3 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 4 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 5 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 6 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 7 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 8 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 9 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 10 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 11 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 12 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 13 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 14 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 15 Applying Acl 3010 rule 15 failed! Reason: Resource unavailable!(GigabitEthernet1/0/5) Как видно, применилось только 14 правил. 15 правило примениться не может. Прошивка стоит последней версии. Пробовал применить ACL и на других 5500, результат тот же. На порт может примениться только 14 правил Advanced ACL. Кто-то сталкивался с такой проблемой? Как решили? Вставить ник Quote
srg555 Posted January 30, 2014 Posted January 30, 2014 это нехватка tcam. упрощайте acl Вставить ник Quote
lanroot Posted January 30, 2014 Author Posted January 30, 2014 это нехватка tcam. упрощайте acl Поясните пожста, что за tcam? Упрощать это как? Например, требуется разрешить доступ с конкретного сервера к конкретным машинам. Создаем ACL: acl num 3020 ma co rule 1 permit ip source 192.168.1.100 0 destination 192.168.2.74 0 Можно еще проще? Вставить ник Quote
srg555 Posted January 30, 2014 Posted January 30, 2014 покажите acl 3010 и dis acl res Вставить ник Quote
lanroot Posted January 30, 2014 Author Posted January 30, 2014 (edited) покажите acl 3010 и dis acl res Перед acl 3020 есть и другие acl, с достаточно большим к-вом правил. Предлагаете их оптимизировать? dis acl res - такой команды нет на 5500. Да, и на свитчах 8000-ой серии таких проблем с ACL не наблюдается. И что все-таки такое tcam? Edited January 30, 2014 by lanroot Вставить ник Quote
srg555 Posted January 30, 2014 Posted January 30, 2014 tcam это очень быстрая и очень дорогая память самого чипа коммутации Чем более навороченные acl, тем больше они кушают tcam-а Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.