acl其實就是一種報文過濾器,acl分為iacl(入方向過濾)和eacl(出方向過濾),其中iacl的動作可以是forward、trap to cpu、drop和mirror,而eacl的動作是drop。
在交換晶元內部匹配通常只有tcam表查詢和hash表查詢,而acl是通過tcam表中的二進位制關鍵字進行匹配,通過tcam表中的掩碼可以設定精準匹配和模糊匹配(1代表精準匹配,0代表模糊匹配),acl的匹配遵循一旦命中就停止匹配的原則,tacm表的資源有限,盡量避免乙個匹配項多條匹配規則的資源浪費,下表是acl匹配流程圖,方便大家參考和理解。
acl可以通過eth、l3和mpls key進行匹配,我們可以通過非使用者自定義的acl和使用者定義acl進行過濾報文。非使用者自定義是廠商提供給的,比如isis協議報文通過目的mac位址匹配,ospf協議報文通過協議號匹配,只需要設定相對應的mac位址或者協議號加入到acl表項當中;使用者自定義的需要根據報文偏移位置和偏移量來定義規則(使用者自定義定義欄位不多,一般是30個位元組),比如mpls的協議報文需要匹配標籤,這裡就需要用到使用者自定義的幾個位元組定義標籤匹配字段。
ACL原理與配置
個人總結 實驗環境 實驗思路 具體實施 將放置的ar1 ar2和ar3連線。框選路由器後全部開啟。連線線處顯示綠色訊號燈,表示全部開啟 ar1 ar1 int g0 0 0 ar1 gigabitethernet0 0 0 ip add 10.1.1.1 24 ar2 ar2 int g0 0 0 ...
ACL的原理與基本ACL的配置
acl access control list 訪問控制列表,在路由器介面上使用的規則列表。規則 匹配資料報,實現資料報的控制 過濾或放行 作用 動作 permit允許,deny拒絕。acl讀取第三層 ip 和第四層 tcp udp 的頭部資訊 源ip,目標ip,源埠,目標埠,然後根據預先定義好的規...
ACL功能的實現
acl 看控制訪問列表 access control list 控制指定的使用者能否通過指定的介面訪問本機的服務 http https ftp ssh telnet 舉個例子 沒開啟acl功能前,任意使用者都能在外網通過wan連線的ip或者內網通過lan口的ip訪問裝置的web頁面,開啟acl功能,...