Есть много вещей, которые можно делать, но не нужно. Вот некоторые из замечаний, которые я получал в разное время от cisco TAC.
- не делать на роутере много DHCP pool'ов
- не делать на роутере очень больших ACL
- не делать на ACL частый ресиквенс
- не удалять ACE по полной строке, удалять ACE по сиквенс номерам
- не выполнять на интерфейсе команду switchport в стеке, если есть параллельная idle exec сессия
- не делать wr если в параллельной сессии идет sh run
- не писать в явном виде в конце ACL deny ip any any
Не то, чтоб работать не будет, будет работать. Просто do not do it. It's not best practice.
Что и говорить. Многие вещи были достаточно удобны...
Комментарии
не писать в явном виде в
Есть неявные правила для служебного трафика?
Да нет, просто принято в
Да нет, просто принято в конце в явном виде писать deny, хотя там и так он подразумевается. Но вот оказалось что указание в явном виде этой строки приводит к extremly high cpu load.
А вообще, весь трафик, который extended ACL умеет фильтровать, в конце по-умолчанию дропается. Прочий трафик - пропускается. Например: ICMPv4 по-умолчанию дропнется, весь IPv6 пройдет.