3524
查看次数
20
有帮助
3
评论
[原创翻译]ACL TCAM和LOUs在Catalyst 6500
1.目的
如何解释在Catalyst 6500 (ACL)配置的访问控制列表适合到其ACLTCAM和LOUs,并且优化ACL配置。
2. 概要ACL TCAM使用情况:
ACL TCAM被组织成一些列的值(又名条目)和掩码。
图1 :ACL TCAM组织–マスク、值和结果
让我们看一个ACL的例子并且明白交换机如何填充TCAM。
示例:
ip access-list extendedEXAMPLE
permit ip any host10.1.2.100
deny ip anyhost 10.1.68.101
deny ip anyhost 10.33.2.25
permit tcp any any eq 22
deny tcp anyany eq 23
deny udp anyany eq 514
permit tcp any any eq 80
permit udp any any eq 161
前三ACE只检查目的IP地址而剩余的ACE检查目的TCP/UCP端口.所以交换机需要两套掩码。如上述图所显示,为了每个掩码分配,最多能有8个条目。
按照以上提到的ACL, TCAM将看起来如下所述。1比特值为0在掩码中意味着并没有与分类的实际流量相比较(同样不用考虑比特)。
掩码是104比特长度就比較源IP、目的地IP、L4端口类型(TCP/UDP),源L4端口和目的L4端口。
图2 :TCAM掩码和值使用情况
3.ACL TCAM和逻辑运算单元(LOUs)
ACL使用逻辑操作好:
Lesser than (lt)
Greater than (gt)
Equal to (eq)
Not equal to (neq)
Range
Catalyst 6500硬件提供的逻辑运算在硬件方面执行这些操作。ACL硬件有128硬件LOUs,并且它是一种全局性的资源。全局性的LOUs为源端口和目的地端口运算平均分配,和2个LOUs需要匹配端口范围。总之,我们能在硬件平台进行运算32源端口范围匹配和32目的地端口范围匹配。
并且毎ACL我们有10比特L4Ops这些从全局LOUs选择出来,为了进行给的ACE的端口操作在ACL内的L4Ops的10个位。
因此在所有ACL結合我们能执行32源端口范围(或TCP标志)匹配,并且32个目的地端口范围(或TCP标志)的使用在硬件平台都是用LOUs来完成,在硬件方面配比,并且为所有特定ACL能执行10端口范围(或TCP标志)运算也是用LOUs。
如果在ACL中有很多端口范围是可用的LOUs和L4Ops,他们会在软件方面展开到等同的条目。这叫作端口扩展。
图3 :在Catalyst 6500的逻辑运算单元
4. 监控利用率和LOUs
6500A# show tcam counts
Used Free PercentUsed Reserved
---- ---- ------------ --------
Labels: 20 4076 0
ACL_TCAM
--------
Masks: 3549 547 86 72
Entries: 19740 13028 60 576
QOS_TCAM
--------
Masks: 4 4092 0 18
Entries: 22 32746 0 144
LOU: 64 64 50
ANDOR: 1 15 6
ORAND: 0 16 0
ADJ: 0 2048 0
6500A# show platformhardware capacity acl
ACL/QoS TCAM Resources
Key: ACLent - ACLTCAM entries, ACLmsk - ACL TCAM masks, AND - ANDOR,
QoSent - QoS TCAM entries, QOSmsk - QoS TCAM masks, OR - ORAND,
Lbl-in - ingress label, Lbl-eg - egress label, LOUsrc - LOU source,
LOUdst - LOU destination, ADJ - ACL adjacency
Module ACLent ACLmsk QoSentQoSmsk Lbl-in Lbl-eg LOUsrc LOUdst AND OR ADJ
5 60% 86% 0% 0% 1% 1% 50% 50% 0% 0% 0%
6500A# sho tcam lou
LOU # Opcode Port# CapMap Count Ace Count
----- ------ ----- ------------ ---------
0 1 1024 10 1944
64 1 33701 7 9
65 4 33433 7 9
66 1 1024 6 36
Opcode: LT = 1, GT = 2, NEQ= 3 and RANGE = 4.
5. 优化TCAM资源使用情况:
5.1定义ACE和命令从属关系:
考虑一个ACL (类似于上面的第2部分中讨论)从9个ACE检查目的IP地址的和5个ACEs检查L4端口的5 ACE开始,然后总共需要3组掩码。
| Mask (104 bits) | Value | Result |
| 00000000 FFFFFFFF 00 0000 0000 | < totally 8 entries > | < Permit or Deny > |
| 00000000 FFFFFFFF 00 0000 0000 | < 1 entry > | < Permit or Deny > |
| 00000000 00000000 00 0000 FFFF | < totally 5 entries > | < Permit or Deny > |
直接地关联配置的ACE编号使用的掩码条目是不正确的。
你也许知道, ACL和TCAM是依存的命令。对于2个ACE分享同样掩码除非它们不在乎相同位置的比特位,它们需要相互毗邻在ACL目的端。多个条目中的一个可以分享掩码的被叫做子网:
Permit any host 192.10.10.0
Permit any host 192.10.10.1
192.10.10.0 192.10.10.1两个有同样掩码255.255.255.254 (最后位是不关系的)。
因此2个条导致1掩码的1个TCAM条目进入一个掩码:Permit 192.10.10.0255.255.255.254
如果在另一ACL相邻2个条目是:
Permit 192.11.11.0
Permit 192.11.11.1
这终将导致在1个TCAM中进入一个掩码255.255.255.254的条目,因为掩码是相同的将使用8个条目中的第二个与此掩码相应。
上述2的TCAM条目将因而查找:
| Mask (104 bits) | Value | Result |
| 00000000 FFFFFFFE 00 0000 0000 | xxxxxxxx 192.10.10.0 xx xxxx xxxx | Permit |
| xxxxxxxx 192.11.11.0 xx xxxx xxxx | Permit |
ACE的定义和他的顺序决定了ACLTCAM掩码和条目使用情况。
5.2定义在ACL的逻辑操作优化TCAM/LOUs使用情况
让我们考虑以下ACL条目进入:
許可所有主机192.10.10.1 tcp范围10201023其中任一
Permit any host 192.10.10.1tcp range 1020 1023 any
如果我们不使用LOUs,它将会被扩展出独立的ACEs.
Permit any host 192.10.10.1tcp 1020 any
Permit any host 192.10.10.1tcp 1021 any
Permit any host 192.10.10.1tcp 1022 any
Permit any host 192.10.10.1tcp 1023 any
LOU可以由多个ACE参照在同样ACL。使用以上例子,可能有另一套在ACL的ACE和一样
Permit any host 195.1.2.3tcp range 1020 1023 any
如果我们有一个为逻辑运算分配的LOU“范围1020 1023" 这 2个 ACE将会共享它。这样逻辑操作各使用情况在ACL内的被称为实例。
当扩展的ACL缺乏LOUs,它展开ACE时的数取决于2件事:
- 扩充因子(m)请说–要求的ACE编号模拟端口范围
- 实例数(n)请说–使用该端口范围場所的编号。
在扩展以后ACE将增加m和n的生产. (m * n)
本文有一个附录(第八部分)计算扩充因子的列表方法(m)
6.最优化端口扩展
(1)计算优先级(权重)对每次逻辑操作。
特定的端口范围的计算的优先级根据以下因素:
多少ACE与此端口范围的ACE是否将展开对,場合不可能使用LOU (扩充因子) ?我们需要考虑任何"gt"/"lt"操作相同的方式使用其他端口范围。因为他们可能展开对很大数量的ACE,在硬件方面应该放置这些。
多少ACE的使用此端口范围(ref 数量) ?
将判別每个范围的优先级(扩充因素– 1) * ref数量。
(2)判別已经分配的LOUs在硬件方面(其他ACL或者从当前成功HW编程的一个给定的ACL)。从这个联系中我们决定如果当前LoU 配置是最佳的或者不是。在硬件方面希望高優先順位操作(在以上第一步识别)被配置完成。
(3)运行在TCP标志上的ACE必须分别一个LOU因此优先级是最高的。
可能为了消除需要L4OP。为例ACE请说,
許可所有主机192.10.10.1 Lt 1025
能被重新解释
Permit any host 192.10.10.1eq 1024
Permit any host 192.10.10.1lt 1024
从使用TCAM掩码并且没有L4OP,因为范围0到1023可以代表后者不消耗任何LoU。
(5)确保一个L4OP用于TCP标志(在第一个10)“建立”TCP标志匹配。配置“允许tcp任何任何建立”,以确保L4OP tcp标志也会分配。(同样,配置一个王牌,使用给定的高优先级的端口范围,所有端口范围,做同样的事情,根据优先级)
(6) 请小心,因为你不希望改变的行为重新安排ace的ACL。考虑添加一些假ace(如“否认tcp主机0.0.0.0主机0.0.0.0范围3500 3530”)的匹配基本上一些无效流量顶部的ACL范围至关重要。基本上这些ace没有任何影响除了确保端口范围分配L4OP /LOU。
7. ACL修改步骤摘要
- 从最大的开始一个ACL ACL和工作
- 选择所有ACL的w / TCP旗帜和至少一个王牌TCP标志顶部。
- 计算膨胀系数* ref计数为每个端口范围(包括lt / gt)
- 选择最高的前9加权(优先级)使用的L4OPs ACL的范围。
- 每一个ACE现在必须提前在ACL范围(在第一个ACE与tcp建立国旗)或伪高手这个范围应该插入。。
- 为每个剩余ACL的重复(记住一些可用范围可能已经从先前的ACL的但是我们仍然只有10 L4OP比特)
- 使用“show tcam counts”命令来检查掩码利用率百分比和ACL的优化为了尝试和实现希望的掩码利用率。在非生产物理干燥Catalyst 6500应该实行这些重复性步骤。
8. 附录
8.1. 计算扩充因子(m)
8.1.1数学方法计算扩充因子(m)
扩充因子取决于实际值,因为它依靠取决于第4层端口值的二进制表示的位位置。解释下記在计算扩充因子后的数学。
(a)极大的扩充因子(m)比(GT)案件
计算大于第一个端口号转换为二进制。添加0领先直到16比特的总数(因为Layer4端口号是最大16位)
示例:permit any host 192.10.1.1 gt 35 any
二进制表示35 (添加0领先后的比特数16)是
0000 0000 0010 0011
GT 35展开到(-以下意味着不关心)
1--------------- 转换范围从32768 到 65535
-1--------------转换范围从16384 到32767
--1-------------转换范围从8192到16383
---1------------转换范围从4096到8191
----1-----------转换范围从2048到4095
-----1----------转换范围从1024到2047
------1---------转换范围从512到1023
-------1--------转换范围从256到511
--------1-------转换范围从128到255
---------1------转换范围从64到127
----------11----转换范围从48到63
----------1-1---转换范围从40到47
----------1--1--转换范围从36 到 39
因此在GT的情况下扩充因子m是0s数在编号的二进制表示的(在添加導的0s以后做编号位16)。
(b)较少的扩充因素(m)比(LT)案件
要计算较少比首先包装转换端口号对二进制。
示例:許可所有主机192.10.1.1 gt 35其中任一
二进制表示35是10 0011
LT 35 (即从0的条目到34)展开到:(其中–含义不关心)
0----覆盖的范围从0到31
10000- 涵盖32, 33
100010涵盖34
因此在LT的情况下扩充因子m是1编号在编号的二进制表示的。
(c)范围的扩充因子(m)
让我们参照示例范围50 62
第一个转换他们到二进制表示里:
62 = 11 110
50 = 11 010
如果你看看你看到领导(最重要的)2位是相同的,他们只在最后4位不同。我们需要不相同的比特和专注于接下来的部分(包括)第一位,他们开始有所不同(橙色上面所示)。
形成的两个数字的diff组较低的部分包括橙色的上面。
在示例62的diff组是1110,并且为50它是0010
得到的最坏的情况下值膨胀系数(m)计算1的二进制表示的数量更多,局限于不同的比特组(又名diff集团)。在我们的示例中,将62年和1s的数量是3。然后看一下不同的比特数下数量和0的数一数。在我们的示例中是50 0的数是3。现在的总和的2是6。因此,最坏的情况下扩张范围是6。
在大多数情况下这种近似可能不够好。
然而,得到我们所需要的确切数字剔除重叠。重叠是通过比较发现第一条目的GT和LT扩张diff集团如果他们重叠然后删除它们。
找到重叠的diff集团从更高的数量和LT算法应用于它,给出(LT):
然后我们把所有1在上面的不在乎(-)给(LT组#)::
也形成一个集团LT # #,我们不在乎所有0(-)给(LT组##)
现在我们把diff集团从较低的数量和GT算法应用到它(不需要扩大到16位)。给出(GT):
接下来,我们把所有0在上面的不在乎(-)给(GT #):
接下来,我们把所有0在上面的不在乎(-)给(GT #):
现在比较LT #(0111)的第一个条目的条目在GT #。如果大于其中任何一个条目(在本例中它是大于0011),相应的条目在LT # #(0011)和比较它与所有条目在GT #。自0000年以来,小于0011第一项0 - - - LT是重叠的一部分,可以丢弃。
其次比较从GT#(1000)的首先进入与在LT##的所有条目。因为1000是较少比至少一个条目在组LT## (在这种情况下1100)中它也作为重叠的部分,并且可以安全丢弃。
所以准确扩张数是6 - 2(因为我们丢弃2条目由于重叠)= 4
实际展开的条目如下所示: (需要放置上一步除diff组以外的位):
11 10范围56到59 (从LT组)
11 110-范围60到61 (从LT组)
11 01--范围52到55 (从GT组)
11 0011同等51 (从GT组)
如果只使用源(或目标)港口最坏的情况下扩张是16。
如果范围操作在两个来源和目的地港口然后首先计算扩展因数分别为源和目标端口范围(比如src_m和dest_m)和最后的膨胀系数是两个的乘积(m = src_m * dest_m)。因此,最坏的情况下扩展因数是256(16 * 16),当使用范围为:源和目的地港口。
8.1.2计算扩充因子的备选进程(m)
因为上面所有的数学计算编码在一个catalyst 6500最简单的方法得到膨胀系数(m)是使用catalyst 6500来做这个工作。因此最好使用暂存盒(而不是生产盒子)。
创建一个测试ACL和定义前12 ace使用逻辑运算(这将锁定可用L4OPs理想/ ACL和迫使调频ACL扩张)
现在定义一个王牌的范围(或逻辑操作)你想计算扩展因数的13 ACE这个测试ACL。
ACL测试应用于一个接口(需要在管理状态。行协议状态并不重要)。如果使用生产盒子请确保这个接口配置tcam的优先级低,没有拿出任何tcam tcam的条目。
做一个展示调频界面< int >(int的接口测试应用ACL上图)。。
看输出扩展因素。
示例:
Example:
Router#sh ip access-liststest
Extended IP access listtest
10permit tcp any any range 10 ftp-data
20permit tcp any any range ftp-data 30
30permit tcp any any range 30 40
40permit tcp any any range 40 50
50permit tcp any any range 50 60
60permit tcp any any range 60 gopher
70permit tcp any any range gopher www
80permit tcp any any range www 90
90permit tcp any any range 90 100
100permit tcp any any range 100 pop3
110permit tcp any any range pop3 120
120permit tcp any any range 120 130
如果我们需要找到扩充因素范围14000-14026 :
Router(config)#ipaccess-list extended test
Router(config-ext-nacl)#permittcp any any range 14000 14026
Router(config-ext-nacl)#end
Router#sh ip access-liststest
Extended IP access listtest
10permit tcp any any range 10 ftp-data
20permit tcp any any range ftp-data 30
30permit tcp any any range 30 40
40permit tcp any any range 40 50
50permit tcp any any range 50 60
60 permittcp any any range 60 gopher
70permit tcp any any range gopher www
80permit tcp any any range www 90
90permit tcp any any range 90 100
100permit tcp any any range 100 pop3
110permit tcp any any range pop3 120
120permit tcp any any range 120 130
130permit tcp any any range 14000 14026
Router(config)#int f1/48
Router(config-if)#ipaccess-group test in
Router(config-if)#end
Router#sh fm int f1/48
Interface: FastEthernet1/48IP is enabled
hw_state[INGRESS] =not reduced, hw_state[EGRESS] = not reduced
mcast = 0
priority = 0
flags = 0x4
parent[INGRESS] =none
inbound label: 104
FeatureIP_ACCESS_INGRESS:
ACL: test
-----------------------------------------------------------------------------
FM_FEATURE_IP_ACG -ACL名称:测验方向:入口
=============================================================================
DPort - DestinationPort SPort - Source Port Pro - Protocol
PT - Packet Type DPT - Dst.Packet Type SPT - Src. Packet Type
X -XTAG TOS - TOSValue Res -VMR Result
RFM -R-Recirc. Flag MRTNPC - M-Multicast Flag R - Reflexive flag
- F-Fragmentflag - T-TcpControl N - Non-cachable
- M-MoreFragments - P-MaskPriority(H-High, L-Low)
Adj. - Adj.Index C - Capture Flag T -M(Mask)/V(Value)
FM - Flow Mask NULL -Null FM SAO - Source Only FM
DAO -Dest. Only FM SADA - Sour.& Dest. OnlyVSADA - Vlan SADA Only
ISADA - Intf.SADA FF -Full Flow VFF - Vlan Full Flow
IFF -Intf. FF F-VFF -Either FF or VFF IFF-FF - Either IFF or FF
A-VSD - AtleastVSADA A-FF - AtleastFF A-VFF - Atleast VFF
A-SON - AtleastSAO A-DON - AtleastDAO A-SD - Atleast SADA
SHORT -Shortest ISADA-L- ISADALeast FF-L - FF Least
IFF-L - IFFLeast A-SFF - Any shortthan FF A-EFF - Any except FF
A-EVFF - Any exceptVFF SA-L - SourceLeast DA-L - Dest. Least
SADA-L - SADALeast FF-LESS- FFLess N-FF - Not FF
N-IFF - NotIFF A-LVFF - Anyless than VFF FULL - Full Pkt Type
EUI - EUI64 Pkt Type EMBD - Embedded Pkt Type ELNK -EUI Link Overlap
ESIT - EUI SiteOverlap LINK - Link Pkt Type SITE - Site Pkt Type
ERR -Flowmask Error
+----+-+---------------+---------------+-----+-----+---+---+-+---+------+----+------+
|Indx|T| Dest Ip Addr| Source Ip Addr|DPort|SPort|Pro|RFM|X|ToS|MRTNPC|Adj.| FM |
+----+-+---------------+---------------+-----+-----+---+---+-+---+-----+----+------+
1 V 0.0.0.0 0.0.0.0 0 0 6 -F-0 0 ----L- ---- SHORT
M 0.0.0.0 0.0.0.0 0 0 255 0100 0
TM_PERMIT_RESULT
2 V 0.0.0.0 0.0.0.0 0 0 6 ---0 0 ----L- ---- SHORT
M 0.0.0.0 0.0.0.0 0 0 255 0000 0
Destination: RANGE 10 - 20
TM_PERMIT_RESULT
3 V 0.0.0.0 0.0.0.0 0 0 6 -F-0 0 ----L- ---- SHORT
M 0.0.0.0 0.0.0.0 0 0 255 0100 0
TM_PERMIT_RESULT
4 V 0.0.0.0 0.0.0.0 0 0 6 ---0 0 ----L- ---- SHORT
M 0.0.0.0 0.0.0.0 0 0 255 0000 0
Destination: RANGE 20 - 30
TM_PERMIT_RESULT
5 V 0.0.0.0 0.0.0.0 0 0 6 -F-0 0 ----L- ---- SHORT
M 0.0.0.0 0.0.0.0 0 0 255 0100 0
TM_PERMIT_RESULT
6 V 0.0.0.0 0.0.0.0 0 0 6 ---0 0 ----L- ---- SHORT
M 0.0.0.0 0.0.0.0 0 0 255 0000 0
Destination: RANGE 30 - 40
TM_PERMIT_RESULT
7 V 0.0.0.0 0.0.0.0 0 0 6 -F-0 0 ----L- ---- SHORT
M 0.0.0.0 0.0.0.0 0 0 255 0100 0
TM_PERMIT_RESULT
8 V 0.0.0.0 0.0.0.0 0 0 6 ---0 0 ----L- ---- SHORT
M 0.0.0.0 0.0.0.0 0 0 255 0000 0
Destination: RANGE 40 - 50
TM_PERMIT_RESULT
9 V 0.0.0.0 0.0.0.0 0 0 6 -F-0 0 ----L- ---- SHORT
M 0.0.0.0 0.0.0.0 0 0 255 0100 0
TM_PERMIT_RESULT
10 V 0.0.0.0 0.0.0.0 0 0 6 ---0 0 ----L- ---- SHORT
M 0.0.0.0 0.0.0.0 0 0 255 0000 0
Destination: RANGE 50 - 60
TM_PERMIT_RESULT
11 V 0.0.0.0 0.0.0.0 0 0 6 -F- 0 0 ----L- ---- SHORT
M 0.0.0.0 0.0.0.0 0 0 255 0100 0
TM_PERMIT_RESULT
12 V 0.0.0.0 0.0.0.0 0 0 6 ---0 0 ----L- ---- SHORT
M 0.0.0.0 0.0.0.0 0 0 255 000 0 0
Destination: RANGE 60 - 70
TM_PERMIT_RESULT
13 V 0.0.0.0 0.0.0.0 0 0 6 -F-0 0 ----L- ---- SHORT
M 0.0.0.0 0.0.0.0 0 0 255 0100 0
TM_PERMIT_RESULT
14 V 0.0.0.0 0.0.0.0 0 0 6 ---0 0 ----L- ---- SHORT
M 0.0.0.0 0.0.0.0 0 0 255 0000 0
Destination: RANGE 70 - 80
TM_PERMIT_RESULT
15 V 0.0.0.0 0.0.0.0 0 0 6 -F- 0 0 ----L- ---- SHORT
M 0.0.0.0 0.0.0.0 0 0 255 0100 0
TM_PERMIT_RESULT
16 V 0.0.0.0 0.0.0.0 0 0 6 ---0 0 ----L- ---- SHORT
M 0.0.0.0 0.0.0.0 0 0 255 000 0 0
Destination: RANGE 80 - 90
TM_PERMIT_RESULT
17 V 0.0.0.0 0.0.0.0 0 0 6 -F-0 0 ----L- ---- SHORT
M 0.0.0.0 0.0.0.0 0 0 255 0100 0
TM_PERMIT_RESULT
18 V 0.0.0.0 0.0.0.0 0 0 6 ---0 0 ----L- ---- SHORT
M 0.0.0.0 0.0.0.0 0 0 255 0000 0
Destination: RANGE 90 - 100
TM_PERMIT_RESULT
19 V 0.0.0.0 0.0.0.0 0 0 6 -F-0 0 ----L- ---- SHORT
M 0.0.0.0 0.0.0.0 0 0 255 0100 0
TM_PERMIT_RESULT
20 V 0.0.0.0 0.0.0.0 0 0 6 ---0 0 ----L- ---- SHORT
M 0.0.0.0 0.0.0.0 0 0 255 0000 0
Destination: RANGE 100 - 110
TM_PERMIT_RESULT
21 V 0.0.0.0 0.0.0.0 0 0 6 -F-0 0 ----L- ---- SHORT
M 0.0.0.0 0.0.0.0 0 0 255 0100 0
TM_PERMIT_RESULT
22 V 0.0.0.0 0.0.0.0 0 0 6 ---0 0 ----L- ---- SHORT
M 0.0.0.0 0.0.0.0 0 0 255 0000 0
Destination: RANGE 110 - 120
TM_PERMIT_RESULT
23 V 0.0.0.0 0.0.0.0 0 0 6 -F- 0 0 ----L- ---- SHORT
M 0.0.0.0 0.0.0.0 0 0 255 0100 0
TM_PERMIT_RESULT
24 V 0.0.0.0 0.0.0.0 0 0 6 ---0 0 ----L- ---- SHORT
M 0.0.0.0 0.0.0.0 0 0 255 000 0 0
Destination: RANGE 120 - 130
TM_PERMIT_RESULT
25 V 0.0.0.0 0.0.0.0 0 0 6 -F-0 0 ----L- ---- SHORT
M 0.0.0.0 0.0.0.0 0 0 255 0100 0
TM_PERMIT_RESULT
26 V 0.0.0.0 0.0.0.014026 0 6 --- 0 0 ----L- ----SHORT
M 0.0.0.0 0.0.0.065535 0 255 000 0 0
TM_PERMIT_RESULT
27 V 0.0.0.0 0.0.0.014000 0 6 --- 0 0 ----L- ----SHORT
M 0.0.0.0 0.0.0.065520 0 255 000 0 0
TM_PERMIT_RESULT
28 V 0.0.0.0 0.0.0.014016 0 6 --- 0 0 ----L- ----SHORT
M 0.0.0.0 0.0.0.065528 0 255 000 0 0
TM_PERMIT_RESULT
29 V 0.0.0.0 0.0.0.014024 0 6 --- 0 0 ----L- ----SHORT
M 0.0.0.0 0.0.0.065534 0 255 000 0 0
TM_PERMIT_RESULT
30 V 0.0.0.0 0.0.0.0 0 0 0 ---0 0 ----L- ---- SHORT
M 0.0.0.0 0.0.0.0 0 0 0 0000 0
M 0.0.0.0 0.0.0.0 0 0 0 0000 0
TM_L3_DENY_RESULT
条目26日,27、28、29 ACEs扩大到涵盖14000 - 14026的端口范围。最后一个(30)为默认否认任何任何ip ACE。所以扩张因子m在这种情况下是4。
标签:
