思科與華爲訪問控制列表(ACL)的區別
網絡基礎知識網絡
路由器爲了過濾數據包,須要配置一系列的規則,以決定什麼樣的數據包可以經過,這些規則就是經過訪問控制列表ACL(Access Control List)定義的。訪問控制列表是由permit | deny語句組成的一系列有順序的規則,這些規則根據數據包的源地址、目的地址、端口號等來描述。ACL經過這些規則對數據包進行分類,這些規則應用到路由器接口上,路由器根據這些規則判斷哪些數據包能夠接收,哪些數據包須要拒絕。ide
1、思科與華爲訪問控制列表分類的區別code
一、在華爲路由器裏訪問控制列表的用途,能夠分爲三類:排序
1)基本的訪問控制列表(basic acl)接口
基本訪問控制列表只能使用源地址信息,作爲定義訪問控制列表的規則的元素。經過上面小節介紹的acl的命令,能夠建立一個基本的訪問控制列表,同時進入基本訪問控制列表視圖,在基本訪問控制列表視圖下,能夠建立基本訪問控制列表的規則。ip
rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } ] [ time-range time-name ]路由
2)高級的訪問控制列表(advanced acl)it
高級訪問控制列表可使用數據包的源地址信息、目的地址信息、IP承載的協議類型、針對協議的特性,例如TCP的源端口、目的端口,ICMP協議的類型、code等內容定義規則。能夠利用高級訪問控制列表定義比基本訪問控制列表更準確、更豐富、更靈活的規則。io
rule [ rule-id ] { permit | deny } protocol [ source {sour-addr sour-wildcard | any }] [ destination { dest-addr dest-wildcard | any }] [ source-port operator port1 [ port2 ] ] [ destination-port operator port1 [ port2 ] ] [ icmp-type icmp-type icmp-code ] [ precedence precedence ] [ tos tos ] [ time-range time-name ]class
3)基於接口的訪問控制列表(interface-based acl)
基於接口的訪問控制列表,是一種特殊的訪問控制列表,能夠根據接收報文的接口指定規則。
rule [ rule-id ] { permit | deny } { interface interface-type interface-number | any } [ time-range time-name ]
二、在思科路由器裏訪問控制列表常見的有兩類
1)標準的訪問控制列表
跟華爲的基本訪問控制列表同樣,只檢查數據包的源地址。
access-list ACL號 permit|deny host ip地址
2)擴展的訪問控制列表
跟華爲的高級訪問控制列表相似,既檢查數據包的源地址,也檢查數據包的目的地址,同時還能夠檢查數據包的特定協議類型、端口號等。
access-list ACL號 [permit|deny] [協議] [定義過濾源主機範圍] [定義過濾源端口] [定義過濾目的主機訪問] [定義過濾目的端口]
3)除了上述兩種訪問控制列表以外,思科路由器中還有:基於名稱的訪問控制列表、反向訪問控制列表、基於時間的訪問控制列表等,但在平常維護中比較少使用。
2、思科與華爲訪問控制列表編號範圍的區別
訪問控制列表的使用用途是依靠數字的範圍來指定的。
一、在華爲路由器裏,2000~2999範圍的訪問控制列表是基本的訪問控制列表,3000~3999範圍的訪問控制列表是高級的訪問控制列表,1000~1999是基於接口的訪問控制列表。
二、在思科路由器裏,標準的訪問控制列表使用 1~99 以及1300~1999之間的數字做爲表號,擴展的訪問控制列表使用 100~199以及2000~2699之間的數字做爲表號。
3、思科與華爲訪問控制列表匹配順序的區別
一、華爲路由器訪問控制列表匹配規則
一個訪問控制列表能夠由多條「permit | deny」語句組成,每一條語句描述的規則是不相同,這些規則可能存在重複或矛盾的地方,在將一個數據包和訪問控制列表的規則進行匹配的時候,到底採用哪些規則呢?就須要肯定規則的匹配順序。
有兩種匹配順序:
1)配置順序
配置順序,是指按照用戶配置ACL的規則的前後進行匹配。
2)自動排序
自動排序使用「深度優先」的原則。「深度優先」規則是把指定數據包範圍最小的語句排在最前面。這一點能夠經過比較地址的通配符來實現,通配符越小,則指定的主機的範圍就越小。好比129.102.1.1 0.0.0.0指定了一臺主機:129.102.1.1,而129.102.1.1 0.0.255.255則指定了一個網段:129.102.1.1~129.102.255.255,顯然前者在訪問控制規則中排在前面。具體標準爲:對於基本訪問控制規則的語句,直接比較源地址通配符,通配符相同的則按配置順序;對於基於接口的訪問控制規則,配置了「any」的規則排在後面,其它按配置順序;對於高級訪問控制規則,首先比較源地址通配符,相同的再比較目的地址通配符,仍相同的則比較端口號的範圍,範圍小的排在前面,若是端口號範圍也相同則按配置順序。
使用那一種匹配順序,在建立ACL的時候就能夠指定。
acl [ number ] acl-number [ match-order { config | auto } ]
二、思科路由器訪問控制列表匹配規則
思科路由器通常狀況下采用順序匹配方式,只要一條知足就不會繼續查找,另外在思科的訪問控制列別中,最後一條是隱含拒絕的,即前面全部條目都不匹配的話,則默認拒絕。任何條件下只給用戶能知足他們需求的最小權限。
- 1. 華爲-ACL訪問控制列表
- 2. 訪問控制列表ACL
- 3. 訪問控制列表(ACL)
- 4. ACL(訪問控制列表)
- 5. ACL 訪問控制列表
- 6. ACL訪問控制列表
- 7. ACL——訪問控制列表
- 8. 訪問控制列表——ACL
- 9. ACL/訪問控制列表
- 10. 4-思科防火牆:訪問控制列表:基本ACL
- 更多相關文章...
- • Swift 訪問控制 - Swift 教程
- • TCP/IP網絡訪問層的構成 - TCP/IP教程
- • Docker容器實戰(六) - 容器的隔離與限制
- • 漫談MySQL的鎖機制
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 華爲-ACL訪問控制列表
- 2. 訪問控制列表ACL
- 3. 訪問控制列表(ACL)
- 4. ACL(訪問控制列表)
- 5. ACL 訪問控制列表
- 6. ACL訪問控制列表
- 7. ACL——訪問控制列表
- 8. 訪問控制列表——ACL
- 9. ACL/訪問控制列表
- 10. 4-思科防火牆:訪問控制列表:基本ACL