[TIP][转载]关于2948g-l3的控制列表的问题

显示全部楼层 · 2005-2-28 12:57:00

转自：“共享联盟”技术论坛
作者：雪孤寒
关于2948g-l3的控制列表的问题
一个教育网客户需要添加访问控制列表到他的路由交换机上，他使用的是cisco 2948g-l3交换机。
要求：控制非指定的工作站必须经过代理服务器上网，个别指定的工作站可以浏览国际网站，个别服务器只开放指定端口。
实现方法：
扩展访问控制列表+标准访问控制列表
1．建立访问控制列表
首先，建立一个标准的访问控制列表，用于内部网络接口。
配置如下：
ip access-list s 10
permit 192.168.0.1
permit 192.168.0.2
.
.
permit 192.168.0.x
然后，建立一个扩展访问控制列表，用于外部网络接口。
配置如下：
ip access-list e 100
permit ip 192.168.0.0 0.0.15.255 “免费地址列表”
.
.
permit ip 192.168.0.0 0.0.15.255 “免费地址列表”
permit tcp host 192.168.0.1 any eq www
permit tcp host 192.168.0.2 any eq pop3
permit tcp host 192.168.0.2 any eq smtp
.
.
permit tcp host 192.168.0.x any eq xxxx
permit ip host 192.168.0.y any
.
.
permit ip host 192.168.0.z any
2．添加访问控制列表
进入路由交换机的内网接口，添加标准访问控制列表
interface g49
ip access-group 10 in
进入路由交换机的外网接口，添加扩展访问控制列表
interface g50
ip access-group 100 out
3．出现问题
上述工作结束后，进行测试，发现，扩展访问控制列表不起作用。检查访问控制列表，没有问题，使用sh run检查配置，没有发现问题。
无奈，重新添加扩展访问控制列表，这次吸取教训，没有一次全部粘贴，而是50行粘贴一次，到第二百多行时，系统提示溢出，访问控制列表无效，检查发现，访问控制列表的size太小。
于是，更改访问控制列表存储空间大小。
执行如下操作：
sdm size ipx-node 32
sdm size ip-adjacency 11264
sdm size ip-prefix 11264
sdm size ipx-network 32
sdm size ip-mcast 32
sdm size l2-switching 128
sdm access-list 2048
重新添加扩展访问控制列表，没有错误提示，万事大吉
4．解决问题
问题是解决了，可是还是留下了许多思考，也给了我一点心得。
修改sdm size时，与ip无关项一律设成最小，有关项一律设成最大。
提一句，设完sdm size后，重新启动才有效，呵呵，可别忘了。