ACL 的匹配顺序
访问控制规则可能会包含多个rule语句,而每个语句都指定不同的报文范围。这样,在匹配报文和访问控制规则时就会出现匹配顺序的问题。有两种匹配顺序:l 配置顺序:根据配置顺序匹配ACL规则。l 自动排序:根据“深度优先”规则排序。 “深度优先”是指自动地按照深度优先的原则为规则排序。IP ACL的深度优先以源IP地址掩码和目的IP地址掩码长度排序,每增加一条规则,都与已有规则比较,具有更长掩码的规则其插入位置越靠前。插入规则时先比较源IP地址掩码长度,若源IP地址掩码长度相等,则比较目的IP地址掩码长度。例如,源IP地址掩码为255.255.255.0(对应的反掩码配置为:0.0.0.255)的规则比源IP地址掩码为255.255.0.0(对应的反掩码配置为:0.0.255.255)的规则匹配位置靠前。链路层ACL的深度优先以源MAC地址掩码和目的MAC地址掩码长度排序,每增加一条规则,都与已有规则比较,具有更长掩码的规则其插入位置越靠前。例如,源MAC地址掩码为FFFF-FFFF-0000-0000的规则比源MAC地址掩码为FFFF-0000-0000-0000的规则匹配位置靠前。当深度相同时,则是先配置的规则在前。 可以使用display acl 命令来验证首先生效的规则。在显示列表中,首先生效的将会是列表中的第一条规则。一旦有一条规则被匹配,ACL就不再继续匹配其它规则了,它将执行第一次匹配的规则指定的动作。例如下面几条rule规则,如果按照深度优先的匹配规则,那么排序顺序如标号所示:acl number 2000l rule 0 permit source 1.1.1.1 255.255.255.0⑧l rule 1 permit source 1.1.1.1 255.0.255.0 ⑥l rule 2 permit source 1.1.1.1 255.255.0.0 ⑦l rule 3 permit source 1.1.1.1 255.0.0.0 ②l rule 4 permit source 1.1.1.1 0.0.0.255 ③l rule 5 permit source 1.1.1.1 0.0.0.254 ①l rule 6 permit source 1.1.1.1 255.0.128.0 ④l rule 7 permit source 1.1.1.1 255.127.0.0 ⑤
页:
[1]