ACL的匹配顺序

最新推荐文章于 2024-02-14 14:23:47 发布
最新推荐文章于 2024-02-14 14:23:47 发布
阅读量3.3k 收藏 4
点赞数
文章标签: 网络 数据结构与算法
原文链接:http://blog.51cto.com/1625206/2422555
版权

由于一条ACL由多条规则组成,因此这些规则可能存在重复或矛盾等冲突地方,在将一个数据包和ACL的规则进行匹配的时候,到底采用哪些规则呢?此时判断的依据就是规则的匹配顺序,在创建ACL规则时指定的,有两种:配置顺序和自动排序。
配置顺序
顾名思义,是按照配置规则的先后顺序进行匹配;
当创建ACL时如果不指定匹配顺序,则缺省是配置顺序。
[FW1] ACL 3000 match-order config
[FW1] rule 5 permit tcp source-port eq 17
[FW1] rule 10 permit tcp source-port eq 16
[FW1-ACL-if-1000] dis ACL 3000
Advanced ACL 3000, 2 rules
ACL's step is 5
rule 5 permit tcp source-port eq 17 (0 times matched)
rule 10 permit tcp source-port eq 16 (0 times matched)
注意,一般手工配置ACL时,rule后面人为指定一个子规则号,推荐从5开始,多个rule的子规则号以5的倍数增加,保证一定冗余度。目的是当ACL的匹配顺序是配置顺序时,一定程度上能保证rule顺序的正确。举例如下
〔RT1〕ACL number 3000
rule 5 permit tcp source 1.1.0.0 0.0.255.255 source-port eq 14 destination 6.6.6.6 0 destination-port gt 1000
rule 10 permit ip source 2.2.2.2 0.0.0.

最低0.47元/天 解锁文章
cdo23112
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ACL奇数偶数匹配.doc
07-18
ACL奇数偶数匹配.doc
ACL的基本原理与配置
最新发布
weixin_50931573的博客
04-17 687
一、ACL概述ACL,中文名称是“访问控制列表”,它由一系列规则(即描述报文匹配条件的判断语句)组成。这些条件通常被称为五元组-分别是报文的源地址、目的地址、源端口、目的端口、端口号等。这样解释ACL,大大家肯定听不懂,那么我打个比喻,ACL相当于一个过滤器,ACL规则就是过滤器的滤芯,安装什么样的滤芯(即根据报文特征匹配的一系列ACL规则),ACL就能过滤出什么样的报文了。ACL是由一系列permit或deny语句组成的、有序规则的列表。ACL是一个匹配工具,能够对报文进行匹配和区分。
1.1.3 ACL匹配顺序
m0_70976024的博客
02-14 728
若“深度优先”的顺序相同,则匹配该规则时按rule-id从小到。一条规则可以包含另一条规则,但两条规则不可能完全相同。
ACL规则匹配顺序
Jian Sun_的博客
07-26 5035
从上面的ACL匹配报文流程图中,可以看到,只要报文未命中规则且仍剩余规则,系统会一直从剩余规则中选择下一条与报文进行匹配。 系统是根据什么样的顺序来选择规则进行报文匹配的呢? 回答这个问题之前,先来看个例子。假设我们先后执行了以下两条命令进行配置: rule deny ip destination 1.1.0.0 0.0.255.255//表示拒绝目的IP地址为1.1.0.0网段的报文通过 rule permit ip destination 1.1.1.0 0.0.0.255//表示允...
CISCO ACL 顺序修改
weixin_33704591的博客
06-03 762
  在“过去”,你在一个访问控制列表中唯一可以添加一条新条目的位置就是它的底部。在访问控制列表的指定位置添加条目的是不可能实现的工作。如果你想在一个已经存在的访问控制列表的指定位置添加条目,就必须将其所有内容复制到记事本中,进行修改,并删除现有的访问控制列表,将新修改的作为新列表,进行重建和再编译。  通过引入序列号,思科改变了这一切。该功能是从网络操作系统12.2(14)版...
局域网10-ACL配置
09-13
1.1.3 IPv4 ACL匹配顺序:当数据包到达设备时,ACL规则会按照其定义的顺序进行匹配。一旦匹配到一条规则,就不会再继续匹配后续规则。 1.1.4 IPv4 ACL步长:步长指在定义连续的ACL规则时,每次增加的数字。默认步长...
ACL.rar_ACL
09-21
3. **设置顺序**:规则按其在列表中的位置顺序执行,先匹配的规则优先执行。 4. **应用ACL**:在接口配置模式下,使用`ip access-group`命令将ACL应用到接口的入站或出站方向。 ### 4. ACL匹配原则 - **最长匹配...
Acl.rar_ACL
09-21
4. **顺序(Order)**:ACL中的规则通常按照优先级顺序处理,先匹配到的规则优先应用。 **三、ACL的工作原理** 当一个主体尝试访问客体时,系统会遍历ACL中的所有规则,直至找到匹配的规则来决定是否允许访问。...
ACL访问控制列表.docx
10-13
3. ACL匹配规则: * 基于每种协议设置一个 ACL(per protocol) * 基于每个方向设置一个 ACL(per direction) * 基于每个接口设置一个 ACL(per interface) 4. ACL 的工作原理: * 入站 ACL:对到来的分组...
ACL详解视频7讲.zip
04-24
- 配置顺序:由于ACL是基于匹配顺序工作的,最具体的规则应放在前面,更通用的规则放后面。 - 匹配规则:每个数据包都会按顺序通过ACL中的规则,一旦匹配成功,就会执行相应的动作(允许或拒绝),并停止检查后续...
访问控制列表ACL学习
01-03
本文档主要介绍了ACL分类及ACL书写匹配规则及使用方法。
ACL匹配机制
h450939070的博客
03-03 2184
小编提醒大家,无论报文匹配ACL的结果是“不匹配”、“允许”还是“拒绝”,该报文最终是被允许通过还是拒绝通过,实际是由应用ACL的各个业务模块来决定的。规则中定义的匹配项限制越严格,规则的精确度就越高,即优先级越高,那么该规则的编号就越小,系统越先匹配。例如,有一条规则的目的IP地址匹配项是一台主机地址2.2.2.2/32,而另一条规则的目的IP地址匹配项是一个网段2.2.2.0/24,前一条规则指定的地址范围更小,所以其精确度更高,系统会优先将报文与前一条规则进行匹配。插入新规则后,新的排序如下。
华为acl怎么生效_华为ACL配置教程
weixin_39552317的博客
12-20 650
一、ACL基本配置1、ACL规则生效时间段配置(需要先配置设备的时间,建议用ntp同步时间)某些引用ACL的业务或功能需要限制在一定的时间范围内生效,比如,在流量高峰期时启动设备的QoS功能。用户可以为ACL创建生效时间段,通过在规则中引用时间段信息限制ACL生效的时间范围,从而达到该业务或功能在一定的时间范围内生效的目的。[Huawei]time-rangetest?Startingtim...
ACL匹配规则及相关命令
热门推荐
咸鱼的梦想专栏
07-28 1万+
ACL匹配原则: (1)匹配顺序是自上而下匹配的 (2)一旦匹配匹配的动作就终止(经常匹配的写在前面,细化匹配的要写在前面) (3)ACL末隐含一条deny all (4)添加的ACL会加在现有ACL末端,但在deny all前面 (5)删除一条ACL规则会导致整个A...
ACL 匹配规则 in out 方向
yiluyangguang1234的专栏
06-28 9058
1 试验目的 (注:华为默认最后未被匹配的路由都permit ,思科 默认最后都未被匹配的路由是deny) 测试ACL匹配原则 2 理解 out 与in  in和out是相对的,比如: A(s0)-----(s0)B(s1)--------(s1)C  假设你现在想拒绝A访问C,并且假设要求你是在B上面做ACL(当然C上也可以),我们把这个拓扑换成一个例子:
华为S9300交换机看acl命中数:acl counter
黑夜搬砖的网工
08-26 4173
华为S9300无法看acl命中匹配计数? ===>经过研究华为该型号交换机确实无法直接看acl 命中数,只有进入到诊断模式下能看到计数 交换机软件版本:VRP (R) software, Version 5.170 (S9300 V200R010C00SPC600) <SW07>sys Enter system view, return user view with Ctrl+Z. [SW07]diagnose [SW07-diagnose]dis acl 2500 match.
acl的基础知识以及工作原理配置
weixin_34293911的博客
01-15 1073
实验名称:acl基础配置-作用: 匹配感兴趣的流量。实验拓扑:实验要求:pc1能ping通所有网络,其余网络都不同 实验目的:熟悉acl的应用实验步骤: 第一:先使所有网络都能相互ping通sw1 <Huawei>undo terminal monitorInfo: Current terminal monit...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值