ACL match-order 中的 config 与 auto 的应用区别

最新推荐文章于 2024-02-05 10:17:04 发布
最新推荐文章于 2024-02-05 10:17:04 发布
阅读量6.3k 收藏 5
点赞数 2
文章标签: ACL match-order
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cuipengchong/article/details/17767137
版权
一个 ACL 由一条或多条描述报文匹配选项的判断语句组成,这样的判断语句就称为“规则”。由
于每条规则中的报文匹配选项不同,从而使这些规则之间可能存在重复甚至矛盾的地方,因此在
将一个报文与ACL 的各条规则进行匹配时,就需要有明确的匹配顺序来确定规则执行的优先级。
ACL 的规则匹配顺序有以下两种:
• 配置顺序:按照用户配置规则的先后顺序进行匹配,但由于本质上系统是按照规则编号由小
到大进行匹配,因此后插入的规则如果编号较小也有可能先被匹配。
• 自动排序:按照“深度优先”原则由深到浅进行匹配,不同类型ACL的“深度优先”排序法
则如下 所示。
ACL 类型“深度优先”排序法则
IPv4基本ACL
(1) 先比较源IPv4 地址范围,范围较小者优先
(2) 如果源IP 地址范围相同,再比较配置顺序,配置在前者优先
1-3
ACL 类型“深度优先”排序法则
IPv4高级ACL
(1) 先比较协议范围,指定有IPv4 承载的协议类型者优先
(2) 如果协议范围相同,再比较源IPv4 地址范围,较小者优先
(3) 如果源IPv4 地址范围也相同,再比较目的IPv4 地址范围,较小者优先
(4) 如果目的IPv4 地址范围也相同,再比较四层端口(即TCP/UDP 端口)号范围,较小者
优先
(5) 如果四层端口号范围也相同,再比较配置顺序,配置在前者优先
忱康
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
软考-华为设备配置命令.docx
08-18
- **Aclnumber[acl-number][match-order{config|auto}]**:创建基本访问控制列表。例如: ```plaintext [Quidway] acl number 2000 ``` 以上命令涵盖了华为设备配置的基础配置、路由配置、VLAN配置、DHCP配置...
H3C评估加固全非官方.pdf
09-15
可以使用以下命令来设置 VTY 访问控制:<H3C> acl number 2000 match-order config [H3C-acl-basic-2000] rule 1 permit source 10.110.100.52 0 [H3C-acl-basic-2000] rule 2 permit source 10.110.100.46 0 [H3C-...
高级ACL的基础配置命令
qq_23930765的博客
01-11 4718
它的基本原理是:配置了ACL的网络设备根据事先设定好的报文匹配规则对经过该设备的报文进行匹配,然后对匹配上的报文执行事先设定好的处理动作。处理动作的不同以及匹配规则的多样性,使得ACL可以发挥出各种各样的功效。每条语句就是该ACL的一条规则,每条语句的permit或deny就是与这条规则相对应的处理动作。主要介绍了ACL的相关技术知识,包括:ACL的作用,ACL的组成、匹配和分类、通配符的使用方法,以及ACL的基本配置及应用。在基本ACL视图下,通过此命令来配置基本ACL的规则。
华为ACL配置说明
weixin_34396103的博客
04-26 1823
华为ACL配置说明 华为3COM的ACL一直一来都比较麻烦,不同版本、不同型号的设备都有些不同。下面我以3900设备为例,说明ACL的配置和执行技巧。 总结一句话:rule排列规则和autoconfig模式有关,而匹配顺序则和ACL应用环境和下发到端口的循序有关。 规律说明: 1、ACL可以分为auto模式和config模式,auto模式根据最长匹配的原则...
关于路由控制工具01
weixin_45590433的博客
02-25 1395
关于路由控制工具01
【网络工程师笔记】——ACL
衍生星球的博客
10-27 1632
match-order指定了ACL各个规则之间的匹配顺序:选择参数configACL的匹配顺序按照规则ID来排序,ID小的规则排在前面,优先匹配;应用ACL时,为了尽可能提高效率和降低对网络的影响,通常基本ACL尽量部署在靠近目标主机的区域接口上,而高级ACL尽量部署在靠近源主机所在区域的接口上。系统按照该规则对应的动作处理。2)对于高级访问控制规则,首先比较协议范围,再比较源地址通配符,都相同时比较目的地址通配符,仍相同时则比较端口号的范围,范围小的排在前面,如果端口号范围也相同则按配置顺序。
ACL原理及配置
一个普普通通的博客
01-24 2万+
ACL原理及配置 ACL概述 ACL组成 规则编号(Rule ID) 通配符(Wildcard) ACL的分类与标识 基本ACL&高级ACL ACL的匹配机制 ACL的匹配顺序及匹配结果 ACL的匹配位置 ACL的基础配置命令
科普一下网络的灵魂 ACL
xiaobai729的博客
02-21 3899
前言 网络飞速发展,网络业务变得越来越普及,人们已经不满足于仅仅能通信的目的,人们对网络安全与网络服务质量的要求也变得越来越高,于是诞生了(ACL,Access control list,访问控制列表),可以配合其他知识做到控制网络访问行为,防止网络攻击和提高网络带宽利用率的效果 一、ACL概述 ACL是由一系列permit或deny语句组成的,有序规则的列表 ACL只是一个匹配工具,它能够对报文进行抓取和区分 ACL是由permit或deny语句组成的一系列有顺序的规则的集合;它通过匹配报文的
华为路由的ACL的配置[文].pdf
10-13
acl <acl-number> [match-order config|auto] rule [normal|special] rule permit|deny protocol source <source-address> [mask ] [port <port-range>] ``` 这里 `<acl-number>` 是ACL的编号,`match-order` 指定...
华为ACL配置教程[收集].pdf
10-13
在数字型ACL配置,可以使用autoconfig来指定ACL的匹配顺序。 2.2 命名型ACL配置 命名型ACL配置是指使用名称来标识ACL的配置。例如,使用以下命令可以配置一个命名型ACL: ``` [Huawei]acl name test ? ``` 在...
华为ACL配置教程.doc
09-26
你可以通过`match-order`参数设置匹配顺序,`auto`表示自动顺序,`config`表示配置顺序。 - 命名型ACL:命名型ACL提供了更易读和管理的方式,通过`acl name`命令定义,可以是基本型(如`acl name test basic`)或...
ACL匹配机制
h450939070的博客
03-03 2217
小编提醒大家,无论报文匹配ACL的结果是“不匹配”、“允许”还是“拒绝”,该报文最终是被允许通过还是拒绝通过,实际是由应用ACL的各个业务模块来决定的。规则定义的匹配项限制越严格,规则的精确度就越高,即优先级越高,那么该规则的编号就越小,系统越先匹配。例如,有一条规则的目的IP地址匹配项是一台主机地址2.2.2.2/32,而另一条规则的目的IP地址匹配项是一个网段2.2.2.0/24,前一条规则指定的地址范围更小,所以其精确度更高,系统会优先将报文与前一条规则进行匹配。插入新规则后,新的排序如下。
华为H3C ACL配置
热门推荐
弱水滴石的博客
01-16 6万+
一、ACL功能简介 随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对数据包进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。ACL(Access Control List,访问控制列表)即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。 二、ACL种类 1. 基本ACL:只根据数据包的源IP地址制定规则,序号
ACL学习资料
weixin_33737774的博客
09-01 1777
复习ACL时发现有些参数不理解,由于本人自学,没有老师,无从问起。于是百度了又百度,G了又G.最后还是给我找到了想要比较详细的资料。好东西呢本人从不敢藏私,现与大家一起分享。 1.1.1 acl 【命令】 acl { number acl-number | name acl-name [ advanced | basic | link | user ] }[ m...
华为交换机配置Qos
最新发布
qq_27546717的博客
02-05 3178
在DiffServ域模型下,优先级映射利用DS域来管理和记录QoS优先级与服务等级、颜色之间的映射关系,其过程如下:\1. 在报文进入设备时,报文携带的QoS优先级被映射到设备内部服务等级和颜色。\2. 设备根据报文的服务等级及颜色实现拥塞避免。\3. 在报文离开设备时,内部服务等级和颜色被映射为QoS优先级。设备根据内部服务等级与QoS优先级之间的映射关系确定报文进入的队列,从而针对队列进行流量整形、拥塞避免、队列调度等处理。
重拾路由交换之acl下的流策略(三)
朝屯暮蒙vi的博客
01-25 3452
配置acl->流分类->流行为->流策略->应用在端口上 一、配置acl二、配置流分类 执行命令traffic classifier classifier-name [ operator { and | or } ] [ precedence precedence-value ],创建一个流分类并进入流分类视图,或进入已存在的流分类视图。 and表示流分类各规则之间关系为“逻辑与”,指定该逻辑关系后: 当流分类ACL规则时,报文必须匹配其一条ACL规则以及所有非ACL规则
HCIA-访问控制列表基础
这是一个网络小菜鸡的笔记本,欢迎大家前来纠错。
08-12 859
访问控制列表ACL的基础学习
QoS配置与管理——4
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
12-22 1万+
复杂流策略配置与管理 流策略是指通过将用户流量分类,把具有某类共同特征的报文划分为一类,为相同类型的流量提供同等的QoS服务,从而针对不同的业务类型提供差分服务。 复杂流策略包含3个要素: (1)流分类 流分类(trafficclassifier)用来定义一组流量匹配规则,以对报文进行分类。流分类各规则之间的关系分为and或or,缺省情况下的关系为and。当流分类ACL规则时,报文必
【R&S】Qos实现工具之一MQC
qq_42247780的博客
03-01 900
文章目录一、3W+1H二、MQC原理:01.MQC三要素01.01.处理流程如下图:02.配置流分类02.01概述:02.02 配置思路02.03 配置流策略03.配置流行为03.01.概述03.02.配置命令&思路04.配置流策略04.01.概述04.02配置命令05.应用流策略05.01概述05.02.配置命令三、MQC的配置举例四、注意事项 一、3W+1H what【是什么】 ...
华为交换机如何创建acl
05-17
在华为交换机,创建ACL(Access Control List)可以通过以下步骤: 1. 进入交换机的用户视图模式:在命令行界面输入“system-view”命令并回车。 2. 创建ACL对象:输入“acl number [acl-number] [match-order {config|auto}]”命令并回车。其,[acl-number]是ACL的编号,可以自定义,范围为1-3999。[match-order]是匹配规则,可以选择“config”表示按照配置顺序匹配,或选择“auto”表示自动匹配。 3. 添加ACL规则:输入“rule [rule-id] [action] [protocol] [source {source-address source-mask|any}] [destination {destination-address destination-mask|any}] [source-port {port-number|range}] [destination-port {port-number|range}] [time-range time-name] [description text]”命令并回车。其,[rule-id]是规则编号,可以自定义。[action]是动作,可以选择“permit”表示允许,或选择“deny”表示拒绝。[protocol]是协议类型,可以选择“ip”表示IP协议,或选择“tcp”表示TCP协议等。[source]和[destination]是源地址和目的地址,可以是具体的IP地址或使用“any”表示所有地址。[source-port]和[destination-port]是源端口和目的端口,可以是具体的端口号或使用“range”表示一定范围内的端口。[time-range]是时间范围,可以选择预定义的时间范围或自定义时间范围名称。 4. 保存ACL配置:输入“save”命令并回车,保存ACL配置。 5. 应用ACL:将ACL应用到相应的接口或虚拟局域网(VLAN)。例如,输入“interface gigabitethernet 0/0/1”命令并回车,进入gigabitethernet 0/0/1接口的配置模式。然后,输入“traffic-filter [acl-number] {in|out}”命令并回车,将ACL应用到该接口的入/出方向。 以上就是在华为交换机创建ACL的基本步骤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值