ACL 的 rule 规则的执行顺序
- 0关注
- 0收藏,572浏览
问题描述:
为什么我配置指定一个 IP 地址 permit 然后在配置 deny 所有的 IP,测试以后所有的 IP 都被 deny 规则不管是配置哪个只要有 deny 所有就不会通过,为什么呢?看说明文档又说从序号开始执行
组网及组网描述:
ACL 的 rule 规则的执行顺序是?为什么我配置指定一个 IP 地址 permit 然后在配置 deny 所有的 IP,测试以后所有的 IP 都被 deny 规则不管是配置哪个只要有 deny 所有就不会通过,为什么呢?看说明文档又说从序号开始执行
- 2024-05-27提问
- 举报
-
(0)
最佳答案
您好,参考
一条ACL可以由多条“deny | permit”语句组成,每一条语句描述一条规则,这些规则可能存在重复或矛盾的地方。例如,在一条ACL中先后配置以下两条规则:
rule deny ip destination 10.1.0.0 0.0.255.255 //表示拒绝目的IP地址为10.1.0.0/16网段地址的报文通过 rule permit ip destination 10.1.1.0 0.0.0.255 //表示允许目的IP地址为10.1.1.0/24网段地址的报文通过,该网段地址范围小于10.1.0.0/16网段范围其中,permit规则与deny规则是相互矛盾的。对于目的IP=10.1.1.1的报文,如果系统先将deny规则与其匹配,则该报文会被拒绝通过。相反,如果系统先将permit规则与其匹配,则该报文会得到允许通过。
因此,对于规则之间存在重复或矛盾的情形,报文的匹配结果与ACL的匹配顺序是息息相关的。
设备支持两种ACL匹配顺序:配置顺序(config模式)和自动排序(auto模式)。缺省的ACL匹配顺序是config模式。
配置顺序
配置顺序,即系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编号越小越容易被匹配。
如果配置规则时指定了规则编号,则规则编号越小,规则插入位置越靠前,该规则越先被匹配。
如果配置规则时未指定规则编号,则由系统自动为其分配一个编号。该编号是一个大于当前ACL内最大规则编号且是步长整数倍的最小整数,因此该规则会被最后匹配。
- 2024-05-27回答
- 评论(0)
- 举报
-
(0)
你permit的规则是在deny前面的吗?如果是的话,估计是你流量没有匹配到permit的规则
- 2024-05-27回答
- 评论(2)
- 举报
-
(0)
permit 在 deny 前面,permit 的地址是 192.168.1.1 0.0.0.0
那说明你的permit没生效
这里注意下acl绑定paceket-filter之后的应用方向
inbound代表从本vlanif或者本接口访问其它网段的流量
outbound代表到达本接口或者vlanif关联的网段的流量
- 2024-05-27回答
- 评论(0)
- 举报
-
(1)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明