iKuai爱快流控路由

标题: ACL功能需要增强，当前不符合企业使用的需求 [打印本页]

作者: micahfy 时间: 2018-2-22 18:09
标题: ACL功能需要增强，当前不符合企业使用的需求
希望增加一个类似cisco有顺序和层级的ACL 规则，当前的ACL使用起来非常繁琐
随便举个例子：
企业内有500台设备，2个网段 172.16.1.0/24 ；172.16.2.0/24， ikuai上起网关 172.16.1.1 和172.16.2.1
我要禁止两个网段互访就需要加上一条  deny  172.16.1.2-172.16.1.255 访问 172.16.2.2-172.16.2.255 的acl
然后有一天领导需要访问对端的某个IP  （领导的IP地址是172.16.1.103）
如果在cisco上我就可以做一条前置编号的acl 加上这个permit，后续接着deny；
而到了ikuai上我就得把第一个ACL给拆成两条，deny 172.16.1.2-172.16.1.102  和deny 172.16.1.104-172.16.1.255，如果某一天又多了三个领导需要互访，就得花好长时间去拆分ikuai的ACL，而cisco上可以只增加几条前置acl即可。

目前对于ikuai我只能提前预留一段地址来减少拆分次数，但是需求总是不断增加中，预留一段根本不够，如果遇到不同品类的需求还是得拆分网段，希望ikuai能够整理一个有逻辑性的ACL。

作者: chatterney 时间: 2018-2-24 22:04
支持一下，类似的还有ip限速，支持自定义的匹配优先级最好了

作者: xiaoliucool 时间: 2018-2-25 14:26
当初爱快流控不支持像panabit那样从上到下匹配规则的时候我就觉得这样的设计非常傻

作者: micahfy 时间: 2018-2-26 14:44

至少有个先后顺序的逻辑也行啊

作者: hwlxxx 时间: 2018-2-26 20:03
纯粹邦楼主顶一下，帮楼主顶一下，顶一下，一下，下。

作者: puxinzhangyu 时间: 2018-2-28 16:27
强烈建议增加按顺序匹配规则！！！

作者: puxinzhangyu 时间: 2018-3-1 09:12
顶一个！！

作者: micahfy 时间: 2018-3-7 10:09
顶起来，希望开发能够看到

作者: xiaoliucool 时间: 2018-3-8 15:32

puxinzhangyu 发表于 2018-2-28 16:27
强烈建议增加按顺序匹配规则！！！

是的非常强烈
从规则编号小到大匹配即，从上到下匹配
可是爱快就是不猜我们呢就不睬我们就不睬我们

作者: 产品Go 时间: 2018-3-11 04:49
如果 ACL 功能增加一个策略优先级，是否可以满足您的需求？

作者: xiaoliucool 时间: 2018-3-11 20:07
up~~~~~~~~~~~~~~~~~~~~~~

作者: xiaoliucool 时间: 2018-3-11 20:12

产品Go 发表于 2018-3-11 04:49
如果 ACL 功能增加一个策略优先级，是否可以满足您的需求？

不仅仅是ACL 手工流控也是！！

作者: 产品Go 时间: 2018-3-11 21:21

xiaoliucool 发表于 2018-3-11 20:12
不仅仅是ACL 手工流控也是！！

收到，感谢反馈～

作者: puxinzhangyu 时间: 2018-3-13 13:39
强烈支持！！

作者: micahfy 时间: 2018-3-13 16:30

产品Go 发表于 2018-3-11 04:49
如果 ACL 功能增加一个策略优先级，是否可以满足您的需求？

我觉得是可以的，至少会方便很多很多。。。。对于小范围的变更我可以调高优先级，如果两条冲突，以优先级高的为主

作者: micahfy 时间: 2018-3-14 14:14

产品Go 发表于 2018-3-11 21:21
收到，感谢反馈～

流控也是非常麻烦，比如网段中某个成员有需要临时开放限速，我必须重写限速策略才能放开单个IP的。
关于这个我觉得有两种处理方法
1.增加一个排除选项，就是说我一条策略中给个地方填特例IP ，不受该策略限制
2. 增加一个优先级（个人来说倾向于优先级，清晰明了）

作者: xiaoliucool 时间: 2018-3-16 12:39

micahfy 发表于 2018-3-14 14:14
流控也是非常麻烦，比如网段中某个成员有需要临时开放限速，我必须重写限速策略才能放开单个IP的。
关于 ...

从上到下从规则编号小到规则编号大匹配是最好的！

作者: holly 时间: 2018-3-29 16:15
提示: 作者被禁止或删除内容自动屏蔽

作者: 产品Go 时间: 2018-3-29 16:51

holly 发表于 2018-3-29 16:15
最好策略还是从上到下按照顺序匹配，你即使加优先级，如果同时有2个相同的优先级还是应该按照从上到下的 ...

优先级唯一就解决了，移来移去操作太麻烦

作者: zhoushaobb 时间: 2018-4-4 13:50
本帖最后由 zhoushaobb 于 2018-4-4 14:02 编辑

产品Go 发表于 2018-3-29 16:51
优先级唯一就解决了，移来移去操作太麻烦

优先级需求及从上至下顺序匹配不冲突。
优先级就应该以数字序号的形式表示，0-999，0为最高优先级，999为最低优先级，这个优先级字段可供用户填写和修改;然后，在策略列表的展现方式，必须默认按照优先级序号从小到大排序。
楼上的朋友坚持建议爱快按从下至下顺序匹配，就是希望在优先级的展现上，有序、直观，那么排序就解决了这个问题。
优先级以数字序号的形式表示，又能妥善解决大众对于策略优先级功能的需求，且操作上简单不复杂。

爱快在具体操作功能的实现上，我的想法是：
新增两个操作项：“上移、下移”两个箭头，每一行策略均可由用户通过鼠标点击来调整该行策略的优先级；
上移，则优先级-1（0-999，0为最高优先级），下移则优先级+1（优先级降低）。

以上建议能满足绝大多数人用户的需求，操作简便直观。
但仍然需要考虑用户存在的极端情况，例如我有几百条策略，其中一条策略的优先级需要从100改成2，通过上移、下移操作来修改一条策略的优先级需要点击100下，太费时太麻烦了，怎么办？
不需要增加任何按钮和输入框，爱快只需要实现这个优先级字段可供用户手工修改填写数字序号就OK了。
例如原先优先级为100的一条策略需要修改为优先级2，用户只需要把优先级改成2就行了。

至于原先那条优先级为2的策略，怎么处理？这就涉及到一个“允不允许存在两条同优先级序号的策略”的问题了。
如果不允许，特别不建议不让用户直接由100改成2，因为这样会让用户操作特别麻烦，爱快可以自动实现原先优先级为2的策略及它以下的策略优先级整体下移；
如果允许相同优先级，那没什么好说的了。
这方面具体怎么细化，你们爱快产品Go们自己深度思考，再完善喽！
太深的思考不是我一个普通用户该干的。

作者: 产品Go 时间: 2018-4-5 01:33

zhoushaobb 发表于 2018-4-4 13:50
优先级需求及从上至下顺序匹配不冲突。
优先级就应该以数字序号的形式表示，0-999，0为最高优先级，999为 ...

非常感谢这位同学这么周全的帮助思考并且这么辛苦的打这么多字～您说得非常有道理，比某些不怀好意莫名喷的007好太多了

作者: 0216010128 时间: 2018-5-28 11:49
强烈建议增加优先级，还有冲突的时候允许居然比阻止高。。。

作者: wuyilala 时间: 2018-5-28 15:26
需要这样的最好也弄个编号优先顺序

作者: lbsws123 时间: 2018-6-4 15:57
应该增加匹配规则的优先顺序级别，方便人性化设置 PA就可以预留规则编号，第一个规则取名100，第二个取名1000，如果有新的调配可以加在已设好的规则名前或后面，提交后按新规则排序执行

作者: micahfy 时间: 2018-6-12 16:11

产品Go 发表于 2018-4-5 01:33
非常感谢这位同学这么周全的帮助思考并且这么辛苦的打这么多字～您说得非常有道理，比某些不怀好意莫名喷 ...

已经被不断增加的小策略折磨的人想知道这个功能有计划么。。。

作者: micahfy 时间: 2018-8-30 13:21

产品Go 发表于 2018-4-5 01:33
非常感谢这位同学这么周全的帮助思考并且这么辛苦的打这么多字～您说得非常有道理，比某些不怀好意莫名喷 ...

今天为了放行一个ip的特定端口又拆了n条策略，跪求3.1 能改进

作者: puxinzhangyu 时间: 2019-5-30 13:29
这个需求已经有好长时间了！

作者: puxinzhangyu 时间: 2019-5-31 08:47
顶起来，希望开发能够看到

作者: puxinzhangyu 时间: 2019-6-10 13:12
顶起来，希望开发能够看到

作者: puxinzhangyu 时间: 2019-7-10 16:15

顶起来，希望开发能够看到

作者: micahfy 时间: 2021-4-26 14:48
已经三年了，继续顶起来

欢迎光临 iKuai爱快流控路由 (https://bbs.ikuai8.com/)