经典防火墙的操作指导书

关性越高，反之相关性就越低。可以用下面的例子来说明：

[Eudemon] acl num 100

[Eudemon-acl-adv-100] rule deny tcp destination 10.10.0.1 0 dest eq 100

[Eudemon-acl-adv-100] rule deny tcp destination 10.10.0.1 0 dest eq 101

[Eudemon-acl-adv-100] rule deny tcp destination 10.10.0.1 0 dest eq 102

[Eudemon-acl-adv-100] rule deny tcp destination 10.10.0.1 0 dest eq 103

[Eudemon-acl-adv-100] rule deny ip destination 10.10.0.0 0.0.255.255

这个规则组我们就可以认为其协议的相关性、IP地址范围的相关性都很高，而端口号

的相关性很低。

[Eudemon] acl num 101

[Eudemon-acl-adv-101] rule deny ip destination 10.10.1.1 0

[Eudemon-acl-adv-101] rule deny ip destination 20.20.2.2 0

[Eudemon-acl-adv-101] rule deny ip destination 30.30.3.3 0

[Eudemon-acl-adv-101] rule deny ip destination 40.40.4.4 0

这个规则组的IP地址相关性就很低，但是端口号，协议等相关性则很高（完全一致）

在测试中，如果端口完全无关，那么可能1000条规则左右就会导致加速的失败，但

如果端口相关性很高，IP地址完全无关，插满20000条规则进行编译也没有任何问

题。

2． 在D007版本的ACL加速算法需要占用大量内存，而且在编译过程中会将内存碎化，

因此我们在处理中使用了特殊的方法，如果规则总数非常多，有10000项以上的话，

在第一次编译的时候，编译速度很快，但是如果停止加速查找，然后再次重新编译，

后续的编译过程的速度会非常慢，有时可长达十几分钟。因此，如果规则数量巨大，

而且又必须重新编译，建议在再次编译前重新启动防火墙。D010SP1和D013版本没

有这个问题。

3． ACL加速查找算法不支持规则立即生效，也就是说，如果在启动ACL加速查找之后，

再次修改ACL规则，那么这个修改时不能反映在当前已经形成的快速查找库中。因

此，我们在实现的时候，做了如下处理：如果在ACL加速查找启动之后再次修改ACL

规则，那么对于修改过的ACL规则，我们将不使用加速查找的方式，转而使用传统的

线性遍历的搜索方式，对这个规则组的查找速度会变慢。一个规则组是否使用加速查

找方式进行查找，可以通过命令行display acl accelerate显示。

下面是此命令的显示信息

ACL accelerate is enabled

NOTE : UTD means Up To Date, OOD means Out Of Date

ACL groups marked with ACCELERATE UTD will use fast search,

others will use usual method.

ACL group :

ID ACCELERATE STATUS