再帰ACL(2)

たまたま手元にあった実機(Catalyst3750、IOS IP-Services 12.2(20)SE1)を使ってテストしてみたけど・・・コンフィグはこんな感じで。
vlan 10
 name External-Network
 exit
!
vlan 20
 name Internal-Network
 exit
!
interface Vlan10
 description ---- External Network ----
 ip address 192.168.10.254 255.255.255.0
 ip access-group input in
 ip access-group output out
 exit
!
interface Vlan20
 description ---- Internal Network ----
 ip address 192.168.20.254 255.255.255.0
 exit
!
ip access-list extended input
 permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255
 permit udp any any eq rip
 permit udp any eq ntp any
 evaluate dyn-in
 deny   ip any any log
 exit
!
ip access-list extended output
 permit tcp host 192.168.20.1 host 192.168.10.10 eq 8080 log reflect dyn-in timeout 10
 permit icmp 192.168.20.0 0.0.0.255 any log reflect dyn-in timeout 10
 permit tcp 192.168.20.0 0.0.0.255 any log reflect dyn-in timeout 300
 permit udp 192.168.20.0 0.0.0.255 any log reflect dyn-in timeout 120
 deny   ip any any log
 exit
!
正直な感触としては、パケットの破棄が多すぎて使い物にならない。尤も、再帰ACLについてはCPUで処理されている筈なので、Catalyst3750の力不足というのも考えられる。より高速なルータ(7200とか)なら実用になるのかも知れないけど・・・。
今すぐ使えるという感じでは無いな。


一応ちゃんとダイナミックにフィルタが更新されてる様子として・・・
Switch#show ip access-lists dyn-in
Reflexive IP access list dyn-in
     permit tcp host 192.168.10.10 eq 8080 host 192.168.20.1 eq 1308 log (3 matches) (time left 119)
     permit tcp host 192.168.10.10 eq 8080 host 192.168.20.1 eq 1307 log (7 matches) (time left 116)
     permit tcp host 192.168.10.10 eq 8080 host 192.168.20.1 eq 1300 log (3 matches) (time left 109)
     permit icmp host 192.168.10.10 host 192.168.20.1  log (87 matches) (time left 9)
Switch#

ちょっと期待はずれでガッカリ。