Limites matérielles au niveau des ACL sur les modèles des séries N et ultérieures, avec un exemple concret :
Le client a rencontré le message d’erreur suivant lors de l’ajout d’une liste d’accès.
« Error encountered applying ACL to HW. HW limit may have been exceeded. » (Erreur lors de l’application de l’ACL sur le matériel. La limite matérielle a peut-être été dépassée.)
Il ne s’agit pas d’une erreur. Les commutateurs de la série N présentent les limites suivantes au niveau du logiciel ACL :
Limites du logiciel ACL (À partir du firmware 6.3.1.8) |
Dell Série N1500 |
Dell Série N2000 |
Dell Série N3000 |
Dell Série N4000 |
Nombre maximal d’ACL (de tout type) | 100 | 100 | 100 | 100 |
Nombre maximal de règles configurables par liste | 1 023 | 1023 | 1023 | 1 023 |
Nombre maximal de règles ACL par interface et par direction (IPv4/L2) | 1 023 (entrée) 1 023 (sortie) |
1 023 (entrée) 1 023 (sortie) |
2 048 (entrée) 1 023 (sortie) |
1 023 (entrée) 1 023 (sortie) |
Nombre maximal de règles ACL par interface et par direction (IPv6) | 255 (entrée) 125 (sortie) |
1 023 (entrée) 509 (sortie) |
1 659 (entrée) 509 (sortie) |
635 (entrée) 509 (sortie) |
Nombre maximal de règles ACL (niveau système) | 3 030 | 3 914 | 3 914 | 3 060 |
Nombre maximal d’interfaces VLAN auxquelles appliquer les ACL | 24 | 24 | 24 | 24 |
Nombre maximal de règles de journalisation ACL (niveau système) | 128 | 128 | 128 | 128 |
Les plages de ports (surlignées en ROUGE) ne sont pas prises en charge sur les interfaces de sortie. Le seul opérateur de port pris en charge en sortie est l’opérateur « eq ». Il s’agit d’une limite matérielle qui ne peut pas être corrigée par un correctif logiciel.
ip access-list PrivateNetOUT
permit tcp any any range 22 23
permit tcp 172.25.242.0 0.0.0.255 any eq telnet
permit tcp 172.25.242.0 0.0.0.255 any eq 22
permit icmp any any
permit tcp 172.28.128.21 0.0.0.0 eq 445 10.10.2.0 0.0.0.255
permit tcp 172.25.53.77 0.0.0.0 any
permit udp 172.28.128.21 0.0.0.0 range 135 139 10.10.2.0 0.0.0.255
permit tcp 172.28.128.21 0.0.0.0 range 135 139 10.10.2.0 0.0.0.255
permit tcp 172.28.129.63 0.0.0.0 10.10.2.0 0.0.0.255 eq 445
permit udp 172.28.129.63 0.0.0.0 10.10.2.0 0.0.0.255 range 135 139
permit tcp 172.28.129.63 0.0.0.0 10.10.2.0 0.0.0.255 range 135 139
permit tcp 172.28.129.64 0.0.0.0 10.10.2.0 0.0.0.255 eq 445
permit udp 172.28.129.64 0.0.0.0 10.10.2.0 0.0.0.255 range 135 139
permit tcp 172.28.129.64 0.0.0.0 10.10.2.0 0.0.0.255 range 135 139
permit udp 172.25.2.81 0.0.0.0 10.10.2.0 0.0.0.255 eq ntp
permit udp 172.25.254.1 0.0.0.0 10.10.2.0 0.0.0.255 eq ntp
permit tcp 172.28.128.124 0.0.0.0 10.10.2.51 0.0.0.0 eq ftp-data
permit tcp 172.28.128.124 0.0.0.0 10.10.2.51 0.0.0.0 eq ftp
permit tcp any 10.10.2.49 0.0.0.0 eq 5160
permit tcp 172.28.128.124 0.0.0.0 eq 1025 10.10.2.51 0.0.0.0
permit tcp 172.28.128.124 0.0.0.0 eq 1025 10.10.2.43 0.0.0.0
permit tcp 172.28.128.124 0.0.0.0 10.10.2.43 0.0.0.0 eq ftp-data
permit tcp 172.28.128.124 0.0.0.0 10.10.2.43 0.0.0.0 eq ftp
permit tcp 172.28.128.124 0.0.0.0 10.10.2.52 0.0.0.0 eq ftp-data
permit tcp 172.28.128.124 0.0.0.0 10.10.2.52 0.0.0.0 eq ftp
permit tcp 172.28.128.124 0.0.0.0 10.10.2.43 0.0.0.0 eq 1025
permit udp any 10.10.2.49 0.0.0.0 eq 5160
permit tcp 172.28.128.13 0.0.0.0 eq 1433 any
permit tcp 172.28.128.124 0.0.0.0 10.10.2.51 0.0.0.0 eq 1025
permit tcp 172.28.129.13 0.0.0.0 10.10.2.0 0.0.0.255 eq 1433
permit tcp 172.28.128.0 0.0.3.255 10.10.2.49 0.0.0.0 eq 1433
permit tcp 172.28.128.124 0.0.0.0 eq ftp-data 10.10.2.0 0.0.0.255