乙個ac可以由多條deny|permit語句組成,每一條語句描述一條規則,這些規則可能存在重複或矛盾的地方(一條規則可以包含另一條規則,但是兩條規則不可能完全相同)
裝置支援兩種匹配順序,即配置順序和自動排序,當將乙個資料報和訪問控制列表的規則進行匹配的時候,由規則的匹配順序決定規則的優先順序,acl通過設定規則的優先順序來處理規則之間重複或矛盾的情形;
1、配置順序
配置順序是按照acl規則編號(rule-id)從小到大的順序進行匹配
2、自動排序
自動排序(auto)使用深度優先的原則進行匹配;
深度優先:即根據規則的精確度排序,匹配條件限制越嚴格越精確,例如可以比較位址的萬用字元,萬用字元越小,則指定的主機的範圍就越小,限制就越嚴格;
萬用字元掩碼與反掩碼類似,以點分十進位制表示,並用二進位制的0表示匹配,1表示不匹配,恰好與子網掩碼的表示方法相反,另外萬用字元1或者0可以不連續,掩碼與反掩碼必須連續;
例如:ip位址為192.168.1.1,萬用字元為0.0.0.255
表示的**為:192.168.1.1-192.168.1.255
acl按照深度匹配順序匹配的原則如下:
(1)基於介面的acl
配置了any的規則排在後面,其他的rule-id小的優先;
(2)基本acl/acl6
先看規則中是否攜帶vpn例項,帶vpn例項的規則優先;
再比較源ip位址範圍,源ip位址範圍小的規則優先;
如果源ip位址範圍相同,則rule-id小的優先;
(3)高階acl/acl6
先看規則中是否攜帶vpn例項,帶vpn例項的規則優先;
再比較協議範圍,指定了ip協議承載的協議型別的規則優先;
如果協議範圍相同,則比較源ip位址範圍,源ip位址範圍小的規則優先;
如果協議範圍、源ip位址範圍相同,則比較目的ip位址範圍,目的ip位址範圍小的規則優先;
如果協議範圍、源ip位址範圍、目的ip位址範圍相同,則比較四層埠號範圍,四層埠號範圍小的規則優先;
如果上述範圍都相同,則rule-id小的優先;
(4)二層acl
先比較二層協議型別萬用字元,萬用字元大的規則優先;
如果二層協議型別萬用字元相同,則比較源mac位址範圍,源mac位址範圍小的規則優先;
如果源mac位址範圍相同,則比較目的mac位址範圍,目的mac位址範圍小的規則優先;
如果源mac位址範圍、目的mac位址範圍相同,則rule-id小的優先;
(5)使用者自定義acl
使用者自定義acl規則的匹配順序只支援配置順序,即rule-id從小到大的順序進行匹配;
(6)基於mpls的acl
配置了any的規則排在後面,其他按rule-id從小到大排列;
HuaWei ACL的基本原理
1 規則管理 每個acl作為乙個規則組,可以包含多個規則,規則通過規則id rule id 來標識,規則id可以由使用者進行配置,也可以由系統自動根據步長生成,乙個acl中所有規則均按照規則id從小到大排序 規則id之間會留下一定的間隔,如果不指定規則id時,具體間隔大小由acl的步長來設定,例如步...
nginx location 匹配順序
location匹配的原型是這樣的 location uri 是精確匹配 是命名的location,在正常的location匹配中不會使用,僅僅在內部跳轉中才會使用到。是區分大小寫的匹配 是不區分大小寫的匹配 表示中止正則匹配 這個平時沒太注意 在乙個請求中,匹配的順序是這樣的。先使用所有locat...
nginx location 匹配順序
location匹配的原型是這樣的 location uri 是精確匹配 是命名的location,在正常的location匹配中不會使用,僅僅在內部跳轉中才會使用到。是區分大小寫的匹配 是不區分大小寫的匹配 表示中止正則匹配 這個平時沒太注意 在乙個請求中,匹配的順序是這樣的。先使用所有locat...