ACL原理和作用,ACL类型和特点,ACL匹配和通配符使用( 四 )


?不匹配(未命中规则):指不存在ACL , 或ACL中无规则 , 再或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则 。以上三种情况 , 都叫做“不匹配” 。
•匹配原则:一旦命中即停止匹配 。

ACL原理和作用,ACL类型和特点,ACL匹配和通配符使用

文章插图
 
ACL的匹配顺序及匹配结果
•配置顺序(config模式)
?系统按照ACL规则编号从小到大的顺序进行报文匹配 , 规则编号越小越容易被匹配 。
ACL原理和作用,ACL类型和特点,ACL匹配和通配符使用

文章插图
 
•一条ACL可以由多条“deny或permit”语句组成 , 每一条语句描述一条规则 , 这些规则可能存在包含关系 , 也可能有重复或矛盾的地方 , 因此ACL的匹配顺序是十分重要的 。
•华为设备支持两种匹配顺序:自动排序(auto模式)和配置顺序(config模式) 。缺省的ACL匹配顺序是config模式 。
?自动排序 , 是指系统使用“深度优先”的原则 , 将规则按照精确度从高到低进行排序 , 并按照精确度从高到低的顺序进行报文匹配 。——这个比较复杂 , 这里就不具体展开了 , 感兴趣的同学可以课后查看资料 。
?配置顺序 , 系统按照ACL规则编号从小到大的顺序进行报文匹配 , 规则编号越小越容易被匹配 。——这个就是我们前面提到的匹配顺序 。
?如果后面又添加了一条规则 , 则这条规则会被加入到相应的位置 , 报文仍然会按照从小到大的顺序进行匹配 。
•匹配结果:(如图所示 , 以192.168.1.3/24为例)
?首先理解ACL 2000的含义:
?rule 1:允许源IP地址为192.168.1.1的报文
?rule 2:允许源IP地址为192.168.1.2的报文
?rule 3:拒绝源IP地址为192.168.1.2的报文
?rule 4:允许其他所有IP地址的报文
ACL的匹配位置
ACL原理和作用,ACL类型和特点,ACL匹配和通配符使用

文章插图
 
入站 (Inbound)及出站 (Outbound)方向
ACL原理和作用,ACL类型和特点,ACL匹配和通配符使用

文章插图
 
基本ACL的基础配置命令
•创建基本ACL
•[Huawei] acl [ number ] acl-number [ match-order config ]?


推荐阅读