交換機TCAM原始狀态:
<a href="http://ipneter.blog.51cto.com/attachment/201003/13/341177_1268488092jhgj.jpg"></a>
添加acl,但是不使用,即不配置到對應的接口後的tcam狀态:
<a href="http://ipneter.blog.51cto.com/attachment/201003/13/341177_1268488129MCvk.jpg"></a>
綁定到相應的接口後:
<a href="http://ipneter.blog.51cto.com/attachment/201003/13/341177_1268488148q3oq.jpg"></a>
類似如下的ace可以彙總的:
ip access-list extended test1
permit tcp any 172.17.2.25 255.255.255.255 eq 5189
permit tcp any 172.17.2.25 255.255.255.255 eq 22
permit tcp any 172.17.2.25 255.255.255.255 eq 8080
permit tcp any 172.17.2.25 255.255.255.255 eq 23
可以彙總為:
permit tcp any 172.17.2.25 255.255.255.255 eq 5189 22 8080 23
但是這樣類似的彙總不會減少tcam的占用,僅能将4條ACE彙總為1條ACE而已,友善書寫。
總結:
1, ACL不比對相應的接口,即不調用的時候,不會占用TCAM條目;
2, 多條ACE除了端口不同外其他都相同,則可以使用eq跟多個端口來彙總成一條ACE,以友善管理,減少ACE的條目使用。但是不能減少TCAM的占用數目。
本文轉自 chris_lee 51CTO部落格,原文連結:http://blog.51cto.com/ipneter/283556,如需轉載請自行聯系原作者
![HTTP 錯誤 403.9 - 禁止通路:連接配接的使用者過多 XP IIS伺服器連接配接數的修改[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)