ACL 的匹配顺序

admin

访问控制规则可能会包含多个rule语句，而每个语句都指定不同的报文范围。这样，在匹配报文和访问控制规则时就会出现匹配顺序的问题。

有两种匹配顺序：

l              配置顺序：根据配置顺序匹配ACL规则。

l              自动排序：根据“深度优先”规则排序。

     “深度优先”是指自动地按照深度优先的原则为规则排序。IP ACL的深度优先以源IP地址掩码和目的IP地址掩码长度排序，每增加一条规则，都与已有规则比较，具有更长掩码的规则其插入位置越靠前。插入规则时先比较源IP地址掩码长度，若源IP地址掩码长度相等，则比较目的IP地址掩码长度。例如，源IP地址掩码为255.255.255.0（对应的反掩码配置为：0.0.0.255）的规则比源IP地址掩码为255.255.0.0（对应的反掩码配置为：0.0.255.255）的规则匹配位置靠前。链路层ACL的深度优先以源MAC地址掩码和目的MAC地址掩码长度排序，每增加一条规则，都与已有规则比较，具有更长掩码的规则其插入位置越靠前。例如，源MAC地址掩码为FFFF-FFFF-0000-0000的规则比源MAC地址掩码为FFFF-0000-0000-0000的规则匹配位置靠前。当深度相同时，则是先配置的规则在前。

   可以使用display acl 命令来验证首先生效的规则。在显示列表中，首先生效的将会是列表中的第一条规则。一旦有一条规则被匹配，ACL就不再继续匹配其它规则了，它将执行第一次匹配的规则指定的动作。

例如下面几条rule规则，如果按照深度优先的匹配规则，那么排序顺序如标号所示：

acl number 2000

l              rule 0 permit source 1.1.1.1 255.255.255.0  ⑧

l              rule 1 permit source 1.1.1.1 255.0.255.0      ⑥

l              rule 2 permit source 1.1.1.1 255.255.0.0      ⑦

l              rule 3 permit source 1.1.1.1 255.0.0.0          ②

l              rule 4 permit source 1.1.1.1 0.0.0.255          ③

l              rule 5 permit source 1.1.1.1 0.0.0.254          ①

l              rule 6 permit source 1.1.1.1 255.0.128.0      ④

l              rule 7 permit source 1.1.1.1 255.127.0.0      ⑤

+ R$ `+ q/ \6 X1 S