类别取值范围特点
基本ACL2000-2999只能根据三层IP制定规则,对数据包进行相应的分析处理
高级ACL3000-3999可以根据数据包的源IP地址信息,目的IP地址信息,IP承载的协议类型,针对协议的特性(例如:TCP的源端口,目的端口,ICMP消息的类型)等内容制定规则)利用高级ACL特定比基本ACL更准确,更丰富,更灵活的规则
链路层ACL4000-4999可以根据源MAC地址,VLAN ID,二层协议类型,目的MAC地址等链路层信息制定规则,对数据进行相应处理。
用户自定义ACL5000-5999可以根据二层数据帧的前80个字节中任意32字节进行匹配,对数据报文作出相应的处理

当一条报文流到达,与两条以上的流规则相匹配,系统匹配顺序如下:
WS6603 无线接入控制器
配置指南2 基础配置
文档版本 02 (2011-08-15) 华为专有和保密信息
版权所有 ? 华为技术有限公司
67
l 同一条ACL 内的子规则,如果同时激活,默认先配置的规则较后配置的规则具有
更高的执行优先级。
l 同一条ACL 内的子规则,如果是逐条单独激活,则后激活的规则较先激活的规则
具有更高的执行优先级。
l 不同的ACL 间下发的子规则,后激活的子规则较先激活的子规则具有更高的执行
优先级。
注意事项
由于ACL 在使用上灵活多变,所以在配置上给出以下建议:
l 建议在任何一条ACL 的子规则里,首先定义一条普遍适用的规则,例如permit any
或者deny any,使任何报文都有一条流规则与之匹配,就能确认没有特别标识的报
文默认是转发还是过滤。
l 激活后的ACL 规则会占用到硬件资源,与协议模块(例如DHCP,IPoA 等)功能
共享硬件资源,同时这部分硬件资源较为有限,因此不可避免存在资源不足的情
况。为了避免因为ACL 占用相关硬件资源,而造成其他业务功能启动失败的情
况,建议用户在配置数据时先启动协议模块,然后再激活ACL。出现启动某个协议
模块失败的情况,处理思路如下:
1. 首先考虑是否是因为ACL 占用资源过多而导致启动失败。
2. 如果确认是ACL 问题,可以去激活或者删除一部分不重要,或者暂时不使用
的ACL 配置后,再来进行协议模块的配置和启用。