思科 ACL 性能问题?

网络工程 思科 防火墙 acl 表现
2022-02-16 10:37:59

我们有 ASR1006 路由器,我们在其上运行 ACL 以允许特定端口到特定服务器。

问题是对单个 IP 与完整子网有任何 ACL 性能影响。像下面的例子。

我们有 202.100.100.0/24 子网现在我想将前 200 个 IP 用于 Web 服务器端口 80,剩下的 55(无论如何)邮件服务端口 25。

现在我如何告诉 ACL 隔离它们或对它们进行子网划分?我有其他选项我为每个 IP 创建单独的 ACL,如下所示,但问题是它会影响路由器性能吗?

access-list 102 permit tcp any host 202.100.100.1 eq www
access-list 102 permit tcp any host 202.100.100.2 eq www
access-list 102 permit tcp any host 202.100.100.3 eq www
access-list 102 permit tcp any host 202.100.100.4 eq www
...
...
access-list 102 permit tcp any host 202.100.100.201 eq smtp
access-list 102 permit tcp any host 202.100.100.202 eq smtp

对单个 ACL 与 /24 完整子网有任何性能影响吗?

1个回答

您始终可以使用通配符来创建访问列表,我认为这样可以减少路由器的匹配过程

您的示例的 ACL 将产生如下结果:

 access-list 102 permit tcp any 202.100.100.0 0.0.0.127 eq www
 access-list 102 permit tcp any 202.100.100.128 0.0.0.63 eq www
 access-list 102 permit tcp any 202.100.100.192 0.0.0.7 eq www
 access-list 102 permit tcp any 202.100.100.200 0.0.0.31 eq smtp
 access-list 102 permit tcp any 202.100.100.232 0.0.0.15 eq smtp
 access-list 102 permit tcp any 202.100.100.248 0.0.0.7 eq smtp
其它你可能感兴趣的问题
上一篇EIGRP 延迟汇总? 下一篇OSPF 路由未导出