由于一条ACL由多条规则组成,因此这些规则可能存在重复或矛盾等冲突地方,在将一个数据包和ACL的规则进行匹配的时候,到底采用哪些规则呢?此时判断的依据就是规则的匹配顺序,在创建ACL规则时指定的,有两种:配置顺序和自动排序。
配置顺序
顾名思义,是按照配置规则的先后顺序进行匹配;
当创建ACL时如果不指定匹配顺序,则缺省是配置顺序。
[FW1] ACL 3000 match-order config
[FW1] rule 5 permit tcp source-port eq 17
[FW1] rule 10 permit tcp source-port eq 16
[FW1-ACL-if-1000] dis ACL 3000
Advanced ACL 3000, 2 rules
ACL's step is 5
rule 5 permit tcp source-port eq 17 (0 times matched)
rule 10 permit tcp source-port eq 16 (0 times matched)
注意,一般手工配置ACL时,rule后面人为指定一个子规则号,推荐从5开始,多个rule的子规则号以5的倍数增加,保证一定冗余度。目的是当ACL的匹配顺序是配置顺序时,一定程度上能保证rule顺序的正确。举例如下
〔RT1〕ACL number 3000
rule 5 permit tcp source 1.1.0.0 0.0.255.255 source-port eq 14 destination 6.6.6.6 0 destination-port gt 1000
rule 10 permit ip source 2.2.2.2 0.0.0.
ACL的匹配顺序
最新推荐文章于 2024-02-14 14:23:47 发布