?不匹配(未命中规则):指不存在ACL , 或ACL中无规则 , 再或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则 。以上三种情况 , 都叫做“不匹配” 。
•匹配原则:一旦命中即停止匹配 。
文章插图
ACL的匹配顺序及匹配结果
•配置顺序(config模式)
?系统按照ACL规则编号从小到大的顺序进行报文匹配 , 规则编号越小越容易被匹配 。
文章插图
•一条ACL可以由多条“deny或permit”语句组成 , 每一条语句描述一条规则 , 这些规则可能存在包含关系 , 也可能有重复或矛盾的地方 , 因此ACL的匹配顺序是十分重要的 。
•华为设备支持两种匹配顺序:自动排序(auto模式)和配置顺序(config模式) 。缺省的ACL匹配顺序是config模式 。
?自动排序 , 是指系统使用“深度优先”的原则 , 将规则按照精确度从高到低进行排序 , 并按照精确度从高到低的顺序进行报文匹配 。——这个比较复杂 , 这里就不具体展开了 , 感兴趣的同学可以课后查看资料 。
?配置顺序 , 系统按照ACL规则编号从小到大的顺序进行报文匹配 , 规则编号越小越容易被匹配 。——这个就是我们前面提到的匹配顺序 。
?如果后面又添加了一条规则 , 则这条规则会被加入到相应的位置 , 报文仍然会按照从小到大的顺序进行匹配 。
•匹配结果:(如图所示 , 以192.168.1.3/24为例)
?首先理解ACL 2000的含义:
?rule 1:允许源IP地址为192.168.1.1的报文
?rule 2:允许源IP地址为192.168.1.2的报文
?rule 3:拒绝源IP地址为192.168.1.2的报文
?rule 4:允许其他所有IP地址的报文
ACL的匹配位置
文章插图
入站 (Inbound)及出站 (Outbound)方向
文章插图
基本ACL的基础配置命令
•创建基本ACL
•[Huawei] acl [ number ] acl-number [ match-order config ]?
推荐阅读
- 什么是VLAN? VLAN基本原理
- OSPF基本概念、工作原理和基础配置
- 制作证件照和修改证件照底色的方法
- 玫瑰花茶的泡法和数量,玫瑰花茶的正确泡法
- 槐米和什么搭配泡茶好,桂花和什么茶搭配好
- 给老电脑升级处理器和内存,全都翻车,90后看不懂
- 蓝蝴蝶花泡水喝的功效,薄荷叶泡水喝的功效作用和食用禁忌
- 孕妇漱口水和普通漱口水的区别
- 铁观音茶有什么功效和作用
- 永劫无间steam和网易有什么区别?