1) use sdm prefer access 分配acl条目资源。
2) L2 port 只能用in方向acl
3) two kinds traffic:ip/mac.
4) 三种过滤应用。
L3 port acl,this acl access-control traffic between vlans,and apply to L3 interface.
L2 port acl,this acl access-control traffic entering a l2 interface.
vlan acl,all traffic in the same vlan,(all packets,frame,不管是路由的还是桥接的).
5) in方向acl L3 acl(vlan acl)和mac acl相克。
6) dot1Q封装的ip报文不是被L3 acl过滤,而是mac acl过滤。
7) routed port /Svi /L3 PAgP port,both in&out.
8) ip fragmenet中仅第一个分片包含L4的信息(tcp/udp port,icmp type/code,etc.)
9) when软处理?log keyword in acl,icmp unreachable,hardware process overload very.
10) logging is not support for port acl (l2 port acl)
11) 防止tcam table滥用:更改SDM模板,使用out方向acl,多用隐含的permit/deny.
12) 3550上不支持的feature.
non-ip protocol acl
bridge-group acl
ip accounting
in/outbound rate-limit(qos acl除外)
ip header 小于5字节的,管不了~(算icmp参数错误)
reflexive acl
lock&key acl
二层口acl不支持log,或应用在出方向。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
