lanroot Опубликовано 30 января, 2014 Всем доброго времени суток! Столкнулся с такой проблемой. Имеем коммутатор 3com 5500G-EI. Необходимо настроить фильтрацию трафика на одном из Ethernet портов. Для этого создается ACL с количеством правил к примеру 20. Затем этот ACL применятеся к порту: [sW5500]dis pa i g 1/0/5 [sW5500]int g 1/0/5 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 1 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 2 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 3 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 4 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 5 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 6 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 7 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 8 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 9 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 10 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 11 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 12 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 13 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 14 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 15 Applying Acl 3010 rule 15 failed! Reason: Resource unavailable!(GigabitEthernet1/0/5) Как видно, применилось только 14 правил. 15 правило примениться не может. Прошивка стоит последней версии. Пробовал применить ACL и на других 5500, результат тот же. На порт может примениться только 14 правил Advanced ACL. Кто-то сталкивался с такой проблемой? Как решили? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 30 января, 2014 это нехватка tcam. упрощайте acl Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lanroot Опубликовано 30 января, 2014 это нехватка tcam. упрощайте acl Поясните пожста, что за tcam? Упрощать это как? Например, требуется разрешить доступ с конкретного сервера к конкретным машинам. Создаем ACL: acl num 3020 ma co rule 1 permit ip source 192.168.1.100 0 destination 192.168.2.74 0 Можно еще проще? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 30 января, 2014 покажите acl 3010 и dis acl res Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lanroot Опубликовано 30 января, 2014 (изменено) покажите acl 3010 и dis acl res Перед acl 3020 есть и другие acl, с достаточно большим к-вом правил. Предлагаете их оптимизировать? dis acl res - такой команды нет на 5500. Да, и на свитчах 8000-ой серии таких проблем с ACL не наблюдается. И что все-таки такое tcam? Изменено 30 января, 2014 пользователем lanroot Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 30 января, 2014 tcam это очень быстрая и очень дорогая память самого чипа коммутации Чем более навороченные acl, тем больше они кушают tcam-а Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
