我正在使用 Aruba 交换机,并且我被要求审查的配置在 ACL 中有以下冗余条目:
14 permit tcp 10.255.252.0/255.255.255.0 any eq ssh
15 permit tcp 10.255.253.0/255.255.255.0 any eq ssh
16 permit tcp 10.255.252.0/255.255.255.0 any eq ssh
是否有任何理由允许使用相同协议在两个不同时间建立相同连接,或者这只是创建 ACL 时的一个简单错误。目前网络没有发生任何不良情况,只是很好奇。
答案1
由于 ACL 条目使用自上而下的先适应逻辑,因此永远不会使用与先前规则匹配的后续规则。
有时,为了获得更好的整体逻辑,(部分)复制早期的条目是有意义的,但在您的情况下没有理由这样做。
在极端情况下,你可以将 ACL 简化为
14 permit tcp 10.255.252.0/255.255.254.0 any eq ssh