資源描述:
《華為ACL詳解2》由會員上傳分享�����,免費在線閱讀����,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫。
1���、文檔名稱文檔密級訪問控制列表-細說ACL那些事兒(ACL匹配篇)在上一期中,小編圍繞一張ACL結(jié)構(gòu)圖展開介紹�����,讓大家了解了ACL的概念�����、作用和分類�����,并且知道了ACL是通過規(guī)則匹配來實現(xiàn)報文過濾的�。但ACL到底是如何進行規(guī)則匹配的���,相信大家還是一頭霧水。本期�,說一說關(guān)于“ACL匹配”的那些事兒。1ACL匹配機制首先��,為大家介紹ACL匹配機制����。上一期提到,ACL在匹配報文時遵循“一旦命中即停止匹配”的原則����。其實,這句話就是對ACL匹配機制的一個高度的概括�。當(dāng)然,ACL匹配過程中�����,還存在很多細節(jié)����。比如,ACL不存在系統(tǒng)會怎么處理���?ACL存在但規(guī)則不存
2�����、在系統(tǒng)會怎么處理����?為了對整個ACL匹配過程展開詳細的介紹,畫了一張ACL匹配流程圖�,相信對大家理解ACL匹配機制能有所幫助。從整個ACL匹配流程可以看出����,報文與ACL規(guī)則匹配后��,會產(chǎn)生兩種匹配結(jié)果:“匹配”和“不2021-9-9華為保密信息,未經(jīng)授權(quán)禁止擴散第8頁,共8頁文檔名稱文檔密級匹配”����。l匹配(命中規(guī)則):指存在ACL,且在ACL中查找到了符合匹配條件的規(guī)則rule����。不論匹配的動作是“permit”還是“deny”,都稱為“匹配”����,而不是只是匹配上permit規(guī)則才算“匹配”����。l不匹配(未命中規(guī)則):指不存在ACL(無ACL)����,或ACL
3、中無規(guī)則(沒有rule)�����,再或者在ACL中遍歷了所有規(guī)則都沒有找到符合匹配條件的規(guī)則��。切記以上三種情況��,都叫做“不匹配”�。提醒大家,無論報文匹配ACL的結(jié)果是“不匹配”�、“允許”還是“拒絕”,該報文最終是被允許通過還是拒絕通過�,實際是由應(yīng)用ACL的各個業(yè)務(wù)模塊來決定的。不同的業(yè)務(wù)模塊�����,對命中和未命中規(guī)則報文的處理方式也各不相同。例如���,在Telnet模塊中應(yīng)用ACL����,只要報文命中了permit規(guī)則��,就允許通過����;而在流策略中應(yīng)用ACL,如果報文命中了permit規(guī)則�,但流行為動作配置的是deny,該報文會被拒絕通過�。在后續(xù)連載的《訪問控制列表-細說
4�、ACL那些事兒(應(yīng)用篇)》中,將結(jié)合各類ACL應(yīng)用,為大家細說各個業(yè)務(wù)模塊的區(qū)別�����。1ACL規(guī)則匹配順序從上面的ACL匹配報文流程圖中�,可以看到��,只要報文未命中規(guī)則且仍剩余規(guī)則,系統(tǒng)會一直從剩余規(guī)則中選擇下一條與報文進行匹配����。系統(tǒng)是根據(jù)什么樣的順序來選擇規(guī)則進行報文匹配的呢?回答這個問題之前�,先來看個例子。假設(shè)我們先后執(zhí)行了以下兩條命令進行配置:ruledenyipdestination1.1.0.00.0.255.255//表示拒絕目的IP地址為1.1.0.0網(wǎng)段的報文通過rulepermitipdestination1.1.1.00.0.0.
5����、255//表示允許目的IP地址為1.1.1.0網(wǎng)段的報文通過,該網(wǎng)段地址范圍小于1.1.0.0網(wǎng)段范圍2021-9-9華為保密信息,未經(jīng)授權(quán)禁止擴散第8頁,共8頁文檔名稱文檔密級這條permit規(guī)則與deny規(guī)則是相互矛盾的�����。對于目的IP=1.1.1.1的報文�����,如果系統(tǒng)先將deny規(guī)則與其匹配�,則該報文會被禁止通過。相反�����,如果系統(tǒng)先將permit規(guī)則與其匹配,則該報文會得到允許通過����。因此,對于規(guī)則之間存在重復(fù)或矛盾的情形��,報文的匹配結(jié)果與ACL規(guī)則匹配順序是息息相關(guān)的����。下面,小編就為大家介紹ACL定義的兩種規(guī)則匹配順序:配置順序(config)
6��、和自動排序(auto)����。配置順序(默認),即系統(tǒng)按照ACL規(guī)則編號從小到大的順序進行報文匹配��,規(guī)則編號越小越容易被匹配�。后插入的規(guī)則,如果你指定的規(guī)則編號更小�,那么這條規(guī)則可能會被先匹配上。提醒����,ACL規(guī)則的生效前提,是要在業(yè)務(wù)模塊中應(yīng)用ACL���。當(dāng)ACL被業(yè)務(wù)模塊引用時���,你可以隨時修改ACL規(guī)則,但規(guī)則修改后是否立即生效與具體的業(yè)務(wù)模塊相關(guān)����。關(guān)于ACL的應(yīng)用,在后續(xù)連載的應(yīng)用篇中�,還將為大家詳細介紹。自動排序�,是指系統(tǒng)使用“深度優(yōu)先”的原則,將規(guī)則按照精確度從高到底進行排序�����,系統(tǒng)按照精確度從高到低的順序進行報文匹配���。規(guī)則中定義的匹配項限制越嚴格
7�、�����,規(guī)則的精確度就越高,即優(yōu)先級越高�����,那么該規(guī)則的編號就越小�����,系統(tǒng)越先匹配�。例如,有一條規(guī)則的目的IP地址匹配項是一臺主機地址2.2.2.2/32�,而另一條規(guī)則的目的IP地址匹配項是一個網(wǎng)段2.2.2.0/24,前一條規(guī)則指定的地址范圍更小��,所以其精確度更高���,系統(tǒng)會優(yōu)先將報文與前一條規(guī)則進行匹配��。小編提醒���,在自動排序的ACL中配置規(guī)則,不允許自行指定規(guī)則編號��。系統(tǒng)能自動識別出該規(guī)則在這條ACL中對應(yīng)的優(yōu)先級����,并為其分配一個適當(dāng)?shù)囊?guī)則編號。2021-9-9華為保密信息,未經(jīng)授權(quán)禁止擴散第8頁,共8頁文檔名稱文檔密級例如�����,在auto模式的acl300
8��、1中����,存在以下兩條規(guī)則。如果在acl3001中插入ruledenyipdestination1.1.1.10(目的IP地址是主機地址���,優(yōu)先級高于上圖中
