
What version of code are you running?<br><br><div class="gmail_quote">On Fri, May 1, 2009 at 12:44 PM, Youssef Ghorbal <span dir="ltr"><<a href="mailto:Youssef.Ghorbal@netplus.fr">Youssef.Ghorbal@netplus.fr</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Hello,<br>

<br>

        We are migration a ServerIronXL to a 4G SSL box. Both act in L3 mode (they are "routers" and not "switchs")<br>

        In the ServerIronXL we used to have an ACL on the uplink interface of the box. Something like :<br>

<br>

        interface ethernet 1<br>

        ip access-group ALL-IN in<br>

        <br>

        The ACL is applied on the ethernet interface and not on VE.<br>

        In the 4G SSL box, the ip access-group command does not exist in the "interface ethernet 1" context. But does in the VE context (ip interace ve 1)<br>

        It seems that ACLs apply per VLAN bases now.<br>

<br>

        Also, in the documentation, a disctinction is made between flow-based ACLs and rule-based ACLs but I can't see the reel difference between the two. In which case is it usefull to do flow-based ACLs and in which it doesn't.<br>


<br>

        My problem is this :<br>

        In the past we used to have a "big" ACL applied on the uplink port. The big ACL contains rules regarding all subnets (VEs) configured on the ServerIronXL<br>

        On the 4G SSL, ACLs are applied on VE basis. And I have to choose to use rule-based or flow-based ACLs.<br>

<br>

        Should I keep the big ACL and apply it to all VE interfaces ?<br>

        Should I make an ACL per VE ? (devide the big ACL in little ones)<br>

        Should I activate flow-based ACLs or rule-based ones ? It would be nice if someone can explain me the exact difference between them.<br>

<br>

Regards,<br>

Youssef Ghorbal<br>

<br>

<br>

        <br>

<br>

        <br>

_______________________________________________<br>

foundry-nsp mailing list<br>

<a href="mailto:foundry-nsp@puck.nether.net" target="_blank">foundry-nsp@puck.nether.net</a><br>

<a href="http://puck.nether.net/mailman/listinfo/foundry-nsp" target="_blank">http://puck.nether.net/mailman/listinfo/foundry-nsp</a><br>

</blockquote></div><br>