ACL match-order 中的 config 与 auto 的应用区别
一个 ACL 由一条或多条描述报文匹配选项的判断语句组成,这样的判断语句就称为“规则”。由
于每条规则中的报文匹配选项不同,从而使这些规则之间可能存在重复甚至矛盾的地方,因此在
将一个报文与ACL 的各条规则进行匹配时,就需要有明确的匹配顺序来确定规则执行的优先级。
ACL 的规则匹配顺序有以下两种:
• 配置顺序:按照用户配置规则的先后顺序进行匹配,但由于本质上系统是按照规则编号由小
到大进行匹配,因此后插入的规则如果编号较小也有可能先被匹配。
• 自动排序:按照“深度优先”原则由深到浅进行匹配,不同类型ACL的“深度优先”排序法
则如下 所示。
ACL 类型“深度优先”排序法则
IPv4基本ACL
(1) 先比较源IPv4 地址范围,范围较小者优先
(2) 如果源IP 地址范围相同,再比较配置顺序,配置在前者优先
1-3
ACL 类型“深度优先”排序法则
IPv4高级ACL
(1) 先比较协议范围,指定有IPv4 承载的协议类型者优先
(2) 如果协议范围相同,再比较源IPv4 地址范围,较小者优先
(3) 如果源IPv4 地址范围也相同,再比较目的IPv4 地址范围,较小者优先
(4) 如果目的IPv4 地址范围也相同,再比较四层端口(即TCP/UDP 端口)号范围,较小者
优先
(5) 如果四层端口号范围也相同,再比较配置顺序,配置在前者优先
于每条规则中的报文匹配选项不同,从而使这些规则之间可能存在重复甚至矛盾的地方,因此在
将一个报文与ACL 的各条规则进行匹配时,就需要有明确的匹配顺序来确定规则执行的优先级。
ACL 的规则匹配顺序有以下两种:
• 配置顺序:按照用户配置规则的先后顺序进行匹配,但由于本质上系统是按照规则编号由小
到大进行匹配,因此后插入的规则如果编号较小也有可能先被匹配。
• 自动排序:按照“深度优先”原则由深到浅进行匹配,不同类型ACL的“深度优先”排序法
则如下 所示。
ACL 类型“深度优先”排序法则
IPv4基本ACL
(1) 先比较源IPv4 地址范围,范围较小者优先
(2) 如果源IP 地址范围相同,再比较配置顺序,配置在前者优先
1-3
ACL 类型“深度优先”排序法则
IPv4高级ACL
(1) 先比较协议范围,指定有IPv4 承载的协议类型者优先
(2) 如果协议范围相同,再比较源IPv4 地址范围,较小者优先
(3) 如果源IPv4 地址范围也相同,再比较目的IPv4 地址范围,较小者优先
(4) 如果目的IPv4 地址范围也相同,再比较四层端口(即TCP/UDP 端口)号范围,较小者
优先
(5) 如果四层端口号范围也相同,再比较配置顺序,配置在前者优先
