类别 | 取值范围 | 特点 |
基本ACL | 2000-2999 | 只能根据三层IP制定规则,对数据包进行相应的分析处理 |
高级ACL | 3000-3999 | 可以根据数据包的源IP地址信息,目的IP地址信息,IP承载的协议类型,针对协议的特性(例如:TCP的源端口,目的端口,ICMP消息的类型)等内容制定规则)利用高级ACL特定比基本ACL更准确,更丰富,更灵活的规则 |
链路层ACL | 4000-4999 | 可以根据源MAC地址,VLAN ID,二层协议类型,目的MAC地址等链路层信息制定规则,对数据进行相应处理。 |
用户自定义ACL | 5000-5999 | 可以根据二层数据帧的前80个字节中任意32字节进行匹配,对数据报文作出相应的处理 |
当一条报文流到达,与两条以上的流规则相匹配,系统匹配顺序如下:
WS6603 无线接入控制器
配置指南2 基础配置
文档版本 02 (2011-08-15) 华为专有和保密信息
版权所有 ? 华为技术有限公司
67
l 同一条ACL 内的子规则,如果同时激活,默认先配置的规则较后配置的规则具有
更高的执行优先级。
l 同一条ACL 内的子规则,如果是逐条单独激活,则后激活的规则较先激活的规则
具有更高的执行优先级。
l 不同的ACL 间下发的子规则,后激活的子规则较先激活的子规则具有更高的执行
优先级。
注意事项
由于ACL 在使用上灵活多变,所以在配置上给出以下建议:
l 建议在任何一条ACL 的子规则里,首先定义一条普遍适用的规则,例如permit any
或者deny any,使任何报文都有一条流规则与之匹配,就能确认没有特别标识的报
文默认是转发还是过滤。
l 激活后的ACL 规则会占用到硬件资源,与协议模块(例如DHCP,IPoA 等)功能
共享硬件资源,同时这部分硬件资源较为有限,因此不可避免存在资源不足的情
况。为了避免因为ACL 占用相关硬件资源,而造成其他业务功能启动失败的情
况,建议用户在配置数据时先启动协议模块,然后再激活ACL。出现启动某个协议
模块失败的情况,处理思路如下:
1. 首先考虑是否是因为ACL 占用资源过多而导致启动失败。
2. 如果确认是ACL 问题,可以去激活或者删除一部分不重要,或者暂时不使用
的ACL 配置后,再来进行协议模块的配置和启用。
转载于:https://blog.51cto.com/xingyun1113/674627