ACL match-order 中的 config 与 auto 的应用区别

最新推荐文章于 2024-02-05 10:17:04 发布
最新推荐文章于 2024-02-05 10:17:04 发布
阅读量6.3k 收藏 5
点赞数 2
文章标签: ACL match-order
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cuipengchong/article/details/17767137
版权
一个 ACL 由一条或多条描述报文匹配选项的判断语句组成,这样的判断语句就称为“规则”。由
于每条规则中的报文匹配选项不同,从而使这些规则之间可能存在重复甚至矛盾的地方,因此在
将一个报文与ACL 的各条规则进行匹配时,就需要有明确的匹配顺序来确定规则执行的优先级。
ACL 的规则匹配顺序有以下两种:
• 配置顺序:按照用户配置规则的先后顺序进行匹配,但由于本质上系统是按照规则编号由小
到大进行匹配,因此后插入的规则如果编号较小也有可能先被匹配。
• 自动排序:按照“深度优先”原则由深到浅进行匹配,不同类型ACL的“深度优先”排序法
则如下 所示。
ACL 类型“深度优先”排序法则
IPv4基本ACL
(1) 先比较源IPv4 地址范围,范围较小者优先
(2) 如果源IP 地址范围相同,再比较配置顺序,配置在前者优先
1-3
ACL 类型“深度优先”排序法则
IPv4高级ACL
(1) 先比较协议范围,指定有IPv4 承载的协议类型者优先
(2) 如果协议范围相同,再比较源IPv4 地址范围,较小者优先
(3) 如果源IPv4 地址范围也相同,再比较目的IPv4 地址范围,较小者优先
(4) 如果目的IPv4 地址范围也相同,再比较四层端口(即TCP/UDP 端口)号范围,较小者
优先
(5) 如果四层端口号范围也相同,再比较配置顺序,配置在前者优先
忱康
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ACL原理与配置
m0_73955207的博客
11-15 1097
ACL原理与配置
配置高级ACL案例
WFlySky的博客
11-07 5439
前提条件 •如果配置基于时间的ACL,则需创建生效时间段,并将其与ACL规则关联起来。 背景信息 高级ACL根据源IP地址、目的IP地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。 高级ACL比基本ACL提供了更准确、丰富、灵活的规则定义方法。例如,当希望同时根据源IP地址和目的IP地址对报文进行过滤时,则需要配置高级ACL。 操作步骤 1、执行命令system-view,进入系统视图。 2、创建高级ACL。可使用编号或者名称两种方
华为ACL配置说明
weixin_34396103的博客
04-26 1847
华为ACL配置说明 华为3COM的ACL一直一来都比较麻烦,不同版本、不同型号的设备都有些不同。下面我以3900设备为例,说明ACL的配置和执行技巧。 总结一句话:rule排列规则和autoconfig模式有关,而匹配顺序则和ACL应用环境和下发到端口的循序有关。 规律说明: 1、ACL可以分为auto模式和config模式,auto模式根据最长匹配的原则...
关于路由控制工具01
weixin_45590433的博客
02-25 1425
关于路由控制工具01
【网络工程师笔记】——ACL
衍生星球的博客
10-27 1707
match-order指定了ACL各个规则之间的匹配顺序:选择参数configACL的匹配顺序按照规则ID来排序,ID小的规则排在前面,优先匹配;应用ACL时,为了尽可能提高效率和降低对网络的影响,通常基本ACL尽量部署在靠近目标主机的区域接口上,而高级ACL尽量部署在靠近源主机所在区域的接口上。系统按照该规则对应的动作处理。2)对于高级访问控制规则,首先比较协议范围,再比较源地址通配符,都相同时比较目的地址通配符,仍相同时则比较端口号的范围,范围小的排在前面,如果端口号范围也相同则按配置顺序。
科普一下网络的灵魂 ACL
xiaobai729的博客
02-21 3980
前言 网络飞速发展,网络业务变得越来越普及,人们已经不满足于仅仅能通信的目的,人们对网络安全与网络服务质量的要求也变得越来越高,于是诞生了(ACL,Access control list,访问控制列表),可以配合其他知识做到控制网络访问行为,防止网络攻击和提高网络带宽利用率的效果 一、ACL概述 ACL是由一系列permit或deny语句组成的,有序规则的列表 ACL只是一个匹配工具,它能够对报文进行抓取和区分 ACL是由permit或deny语句组成的一系列有顺序的规则的集合;它通过匹配报文的
华为交换机配置Qos
最新发布
qq_27546717的博客
02-05 3669
在DiffServ域模型下,优先级映射利用DS域来管理和记录QoS优先级与服务等级、颜色之间的映射关系,其过程如下:\1. 在报文进入设备时,报文携带的QoS优先级被映射到设备内部服务等级和颜色。\2. 设备根据报文的服务等级及颜色实现拥塞避免。\3. 在报文离开设备时,内部服务等级和颜色被映射为QoS优先级。设备根据内部服务等级与QoS优先级之间的映射关系确定报文进入的队列,从而针对队列进行流量整形、拥塞避免、队列调度等处理。
ACL的组成与原理
Guo_youyou的博客
04-22 497
ACL由若干条permit或deny语句组成。编号3000-3999------高级ACL---依据数据包当源、目的IP,源、目的端口、协议号匹配数据。编号2000-2999------基本ACL---依据数据包当的源IP地址匹配数据。编号4000-4999------二层ACL,MAC、VLAN-ID、802.1q。3.NAT、IPSEC VPN、QOS----匹配感兴趣的数据流。2.应用在路由协议----匹配相应的路由条目。1.应用在接口的ACL----过滤数据包。
ACL的匹配顺序
cdo23112的博客
07-22 3371
由于一条ACL由多条规则组成,因此这些规则可能存在重复或矛盾等冲突地方,在将一个数据包和ACL的规则进行匹配的时候,到底采用哪些规则呢?此时判断的依据就是规则的匹配顺序,在创建ACL规则时指定的,有两种:配置顺序和自动排序。配置顺序顾名思义,是按照配置规则的先后顺序进行匹配;当创建ACL时如果不指定匹配顺序,则缺省是配置顺序。[FW1] ACL 3000 match-order config[FW...
华为交换机不同网段互访_华为S5700系列交换机使用高级ACL限制不同网段的用户互访...
weixin_39830588的博客
12-21 1128
组网图形图1使用高级ACL限制不同网段的用户互访示例组网需求如图一所示,某公司通过Switch实现各部门之间的互连。为方便管理网络,管理员为公司的研发部和市场部规划了两个网段的IP地址。同时为了隔离广播域,又将两个部门划分在不同VLAN之。现要求Switch能够限制两个网段之间互访,防止公司机密泄露。配置思路采用如下的思路在Switch上进行配置:1.配置高级ACL和基于ACL的流分类,使...
ACL匹配机制
h450939070的博客
03-03 2268
小编提醒大家,无论报文匹配ACL的结果是“不匹配”、“允许”还是“拒绝”,该报文最终是被允许通过还是拒绝通过,实际是由应用ACL的各个业务模块来决定的。规则定义的匹配项限制越严格,规则的精确度就越高,即优先级越高,那么该规则的编号就越小,系统越先匹配。例如,有一条规则的目的IP地址匹配项是一台主机地址2.2.2.2/32,而另一条规则的目的IP地址匹配项是一个网段2.2.2.0/24,前一条规则指定的地址范围更小,所以其精确度更高,系统会优先将报文与前一条规则进行匹配。插入新规则后,新的排序如下。
华为H3C ACL配置
热门推荐
弱水滴石的博客
01-16 6万+
一、ACL功能简介 随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对数据包进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。ACL(Access Control List,访问控制列表)即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。 二、ACL种类 1. 基本ACL:只根据数据包的源IP地址制定规则,序号
ACL学习资料
weixin_33737774的博客
09-01 1799
复习ACL时发现有些参数不理解,由于本人自学,没有老师,无从问起。于是百度了又百度,G了又G.最后还是给我找到了想要比较详细的资料。好东西呢本人从不敢藏私,现与大家一起分享。 1.1.1 acl 【命令】 acl { number acl-number | name acl-name [ advanced | basic | link | user ] }[ m...
重拾路由交换之acl下的流策略(三)
朝屯暮蒙vi的博客
01-25 3573
配置acl->流分类->流行为->流策略->应用在端口上 一、配置acl二、配置流分类 执行命令traffic classifier classifier-name [ operator { and | or } ] [ precedence precedence-value ],创建一个流分类并进入流分类视图,或进入已存在的流分类视图。 and表示流分类各规则之间关系为“逻辑与”,指定该逻辑关系后: 当流分类ACL规则时,报文必须匹配其一条ACL规则以及所有非ACL规则
HCIA-访问控制列表基础
这是一个网络小菜鸡的笔记本,欢迎大家前来纠错。
08-12 1307
访问控制列表ACL的基础学习
QoS配置与管理——4
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
12-22 1万+
复杂流策略配置与管理 流策略是指通过将用户流量分类,把具有某类共同特征的报文划分为一类,为相同类型的流量提供同等的QoS服务,从而针对不同的业务类型提供差分服务。 复杂流策略包含3个要素: (1)流分类 流分类(trafficclassifier)用来定义一组流量匹配规则,以对报文进行分类。流分类各规则之间的关系分为and或or,缺省情况下的关系为and。当流分类ACL规则时,报文必
【R&S】Qos实现工具之一MQC
qq_42247780的博客
03-01 1025
文章目录一、3W+1H二、MQC原理:01.MQC三要素01.01.处理流程如下图:02.配置流分类02.01概述:02.02 配置思路02.03 配置流策略03.配置流行为03.01.概述03.02.配置命令&思路04.配置流策略04.01.概述04.02配置命令05.应用流策略05.01概述05.02.配置命令三、MQC的配置举例四、注意事项 一、3W+1H what【是什么】 ...
华为交换机Vlan间访问控制ACL配置
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
04-26 6418
设备 华为S5735S-S24T4S-A VRP ® software, Version 5.170 (S5735 V200R019C10SPC500) 配置说明 acl 3001 #rule deny ip source 192.168.X.0 0.0.0.255 destination 192.168.X.0 0.0.0.255 /禁无线用户访问服务器 quit #traffic classifier vlanx /创建流行为 if-match acl 3001 traffic behavior
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值