有时候在工作中,设置了好多acl规则,但有时候却不知道这些规则怎么触发的,下面告诉你acl中的匹配规则,让你清晰的了解数据流是怎么触发规则的
一个
ACL
中可以包含多个规则,而每个规则都指定不同的报文匹配选项,这些规则可能存在重复或矛盾的地方,在将一个报文和
ACL
的规则进行匹配的时候,到底采用哪些规则呢?就需要确定规则的匹配顺序。
IPv4 ACL
支持两种匹配顺序:
l
配置顺序:按照用户配置规则的先后顺序进行规则匹配。
l
自动排序:按照“深度优先”的顺序进行规则匹配。
1. 基本IPv4 ACL的“深度优先”顺序判断原则如下
(1)
先看规则中是否带
×××
实例,带
×××
实例的规则优先;
(2)
再比较源
IP
地址范围,源
IP
地址范围小(反掩码中“
0
”位的数量多)的规则优先;
(3)
如果源
IP
地址范围相同,则先配置的规则优先。
2. 高级IPv4 ACL的“深度优先”顺序判断原则如下
(1)
先看规则中是否带
×××
实例,带
×××
实例的规则优先;
(2)
再比较协议范围,指定了
IP
协议承载的协议类型的规则优先;
ip协议的范围为1—255,承载在ip上的其他协议有各自的协议号。协议范围小或协议号小的优先。如承载在ip上的协议如OSPF和GRE的协议号分别为89和47,那么GRE的优先级将高于ospf,承载在ip上的其他协议都优于ip。
(3)
如果协议范围相同,则比较源
IP
地址范围,源
IP
地址范围小(反掩码中“
0
”位的数量多)的规则优先;
(4)
如果协议范围、源
IP
地址范围相同,则比较目的
IP
地址范围,目的
IP
地址范围小(反掩码中“
0
”位的数量多)的规则优先;
(5)
如果协议范围、源
IP
地址范围、目的
IP
地址范围相同,则比较四层端口号(
TCP/UDP
端口号)范围,四层端口号范围小的规则优先;
(6)
如果上述范围都相同,则先配置的规则优先。
3. 二层ACL的“深度优先”顺序判断原则如下
(1)
先比较源
MAC
地址范围,源
MAC
地址范围小(掩码中“
1
”位的数量多)的规则优先;
(2)
如果源
MAC
地址范围相同,则比较目的
MAC
地址范围,目的
MAC
地址范围小(掩码中“
1
”位的数量多)的规则优先;
(3)
如果源
MAC
地址范围、目的
MAC
地址范围相同,则先配置的规则优先。
转载于:https://blog.51cto.com/luckyman/933676