Limitación de hardware de ACL en series N. El siguiente es un ejemplo real:
El cliente encontró el siguiente error mientras agregaba una lista de acceso.
"Se produjo un error al aplicar la ACL al hardware. Es posible que se haya excedido el límite de hardware".
Esto no es un error. Los switches serie N tienen los siguientes límites de software de ACL:
| Limitaciones de software de ACL (a partir del firmware 6.3.1.8) |
Dell Serie N1500 |
Dell Serie N2000 |
Dell Serie N3000 |
Dell Serie N4000 |
| Cantidad máxima de ACL (cualquier tipo) | 100 | 100 | 100 | 100 |
| Cantidad máxima de reglas configurables por lista. | 1023 | 1023 | 1023 | 1023 |
| Reglas de ACL máximas por interfaz y dirección (IPv4/L2) | 1023 (entrada) 1023 (salida) |
1023 (entrada) 1023 (salida) |
2048 (entrada) 1023 (salida) |
1023 (entrada) 1023 (salida) |
| Reglas de ACL máximas por interfaz y dirección (IPv6) | 255 (entrada) 125 (salida) |
1023 (entrada) 509 (salida) |
1659 (entrada) 509 (salida) |
635 (entrada) 509 (salida) |
| Reglas de ACL máximas (todo el sistema) | 3030 | 3914 | 3914 | 3060 |
| Interfaces VLAN máximas con ACL aplicadas | 24 | 24 | 24 | 24 |
| Reglas de inicio de sesión de ACL máximas (todo el sistema) | 128 | 128 | 128 | 128 |
Las gamas de puertos (resaltados en ROJO) NO se soportan en interfaces de salida. El único operador de puerto compatible con la salida es el operador "eq". Esta es una limitación de hardware y no se puede "reparar" mediante software.
ip access-list PrivateNetOUT
permit tcp any any range 22 23
permit tcp 172.25.242.0 0.0.0.255 any eq telnet
permit tcp 172.25.242.0 0.0.0.255 any eq 22
permit icmp any any
permit tcp 172.28.128.21 0.0.0.0 eq 445 10.10.2.0 0.0.0.255
permit tcp 172.25.53.77 0.0.0.0 any
permit udp 172.28.128.21 0.0.0.0 range 135 139 10.10.2.0 0.0.0.255
permit tcp 172.28.128.21 0.0.0.0 range 135 139 10.10.2.0 0.0.0.255
permit tcp 172.28.129.63 0.0.0.0 10.10.2.0 0.0.0.255 eq 445
permit udp 172.28.129.63 0.0.0.0 10.10.2.0 0.0.0.255 range 135 139
permit tcp 172.28.129.63 0.0.0.0 10.10.2.0 0.0.0.255 range 135 139
permit tcp 172.28.129.64 0.0.0.0 10.10.2.0 0.0.0.255 eq 445
permit udp 172.28.129.64 0.0.0.0 10.10.2.0 0.0.0.255 range 135 139
permit tcp 172.28.129.64 0.0.0.0 10.10.2.0 0.0.0.255 range 135 139
permit udp 172.25.2.81 0.0.0.0 10.10.2.0 0.0.0.255 eq ntp
permit udp 172.25.254.1 0.0.0.0 10.10.2.0 0.0.0.255 eq ntp
permit tcp 172.28.128.124 0.0.0.0 10.10.2.51 0.0.0.0 eq ftp-data
permit tcp 172.28.128.124 0.0.0.0 10.10.2.51 0.0.0.0 eq ftp
permit tcp any 10.10.2.49 0.0.0.0 eq 5160
permit tcp 172.28.128.124 0.0.0.0 eq 1025 10.10.2.51 0.0.0.0
permit tcp 172.28.128.124 0.0.0.0 eq 1025 10.10.2.43 0.0.0.0
permit tcp 172.28.128.124 0.0.0.0 10.10.2.43 0.0.0.0 eq ftp-data
permit tcp 172.28.128.124 0.0.0.0 10.10.2.43 0.0.0.0 eq ftp
permit tcp 172.28.128.124 0.0.0.0 10.10.2.52 0.0.0.0 eq ftp-data
permit tcp 172.28.128.124 0.0.0.0 10.10.2.52 0.0.0.0 eq ftp
permit tcp 172.28.128.124 0.0.0.0 10.10.2.43 0.0.0.0 eq 1025
permit udp any 10.10.2.49 0.0.0.0 eq 5160
permit tcp 172.28.128.13 0.0.0.0 eq 1433 any
permit tcp 172.28.128.124 0.0.0.0 10.10.2.51 0.0.0.0 eq 1025
permit tcp 172.28.129.13 0.0.0.0 10.10.2.0 0.0.0.255 eq 1433
permit tcp 172.28.128.0 0.0.3.255 10.10.2.49 0.0.0.0 eq 1433
permit tcp 172.28.128.124 0.0.0.0 eq ftp-data 10.10.2.0 0.0.0.255