lanroot Опубликовано 30 января, 2014 · Жалоба Всем доброго времени суток! Столкнулся с такой проблемой. Имеем коммутатор 3com 5500G-EI. Необходимо настроить фильтрацию трафика на одном из Ethernet портов. Для этого создается ACL с количеством правил к примеру 20. Затем этот ACL применятеся к порту: [sW5500]dis pa i g 1/0/5 [sW5500]int g 1/0/5 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 1 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 2 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 3 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 4 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 5 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 6 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 7 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 8 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 9 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 10 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 11 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 12 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 13 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 14 [sW5500-GigabitEthernet1/0/5]pa i i 3010 r 15 Applying Acl 3010 rule 15 failed! Reason: Resource unavailable!(GigabitEthernet1/0/5) Как видно, применилось только 14 правил. 15 правило примениться не может. Прошивка стоит последней версии. Пробовал применить ACL и на других 5500, результат тот же. На порт может примениться только 14 правил Advanced ACL. Кто-то сталкивался с такой проблемой? Как решили? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 30 января, 2014 · Жалоба это нехватка tcam. упрощайте acl Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lanroot Опубликовано 30 января, 2014 · Жалоба это нехватка tcam. упрощайте acl Поясните пожста, что за tcam? Упрощать это как? Например, требуется разрешить доступ с конкретного сервера к конкретным машинам. Создаем ACL: acl num 3020 ma co rule 1 permit ip source 192.168.1.100 0 destination 192.168.2.74 0 Можно еще проще? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 30 января, 2014 · Жалоба покажите acl 3010 и dis acl res Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lanroot Опубликовано 30 января, 2014 (изменено) · Жалоба покажите acl 3010 и dis acl res Перед acl 3020 есть и другие acl, с достаточно большим к-вом правил. Предлагаете их оптимизировать? dis acl res - такой команды нет на 5500. Да, и на свитчах 8000-ой серии таких проблем с ACL не наблюдается. И что все-таки такое tcam? Изменено 30 января, 2014 пользователем lanroot Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 30 января, 2014 · Жалоба tcam это очень быстрая и очень дорогая память самого чипа коммутации Чем более навороченные acl, тем больше они кушают tcam-а Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
