西安网站制作机构,网站前端后端分开做可以吗,开发一个购物app需要多少钱,网站主体负责人匹配工具一般搭配其他操作#xff0c;可实现NAT#xff0c;路由策略#xff0c;策略路由#xff0c;MQC#xff0c;流量过滤等操作
通配符掩码
我们都知道子网掩码的1是精确匹配#xff0c;1是大致匹配#xff0c;1必须连续
我们也知道反掩码的1是大致匹配#xff0…匹配工具一般搭配其他操作可实现NAT路由策略策略路由MQC流量过滤等操作
通配符掩码
我们都知道子网掩码的1是精确匹配1是大致匹配1必须连续
我们也知道反掩码的1是大致匹配0是精确匹配0必须连续
那么通配符掩码其实和反掩码很像ta的
0也是精确匹配1也是大致匹配但与前两者不同的是1可以不连续
ACL访问控制列表
ACL作为一种匹配工具有5种类型可在接口的入方向和出方向调用一般用于实现流量过滤和NAT操作
相关概念
ACL编号20006031用于表示ACL
rule规则ACL的匹配判断条件后跟编号可取04294967294默认步长为5
动作permit/deny允许或者拒绝
匹配项要判断的内容
匹配原则
检测是否存在ACL存在进入ACL匹配不存在ACL不匹配按系统默认操作检测ACL是否有规则如果有开始匹配反之ACL不匹配按系统默认处理开始分析从第一条开始分析一旦命中立即结束按照ACL规则中匹配允许/拒绝如果未命中分析下一条rule如果已无rule则ACL匹配结果为不匹配 类型
基本ACL2000-2999
基于源IP分片信息和生效时间信息定义规则
常见应用有NAT
高级ACL3000-3999
可基于源目IPTCP/UDP源目端口号ICMP报文IP协议类生效时间等信息定义规则
常见应用有流量过滤主机间禁止通信
二层ACL4000-4999
基于以太网帧头信息比如源目MAC地址二层协议定义规则
常见应用有两个VLAN间禁止访问
用户自定义ACL5000-5999
基于报文头偏移位置字符串掩码和用户自定义字符串定义规则
常见应用有敏感词过滤
用户ACL6000-6031
基于源目IP地址或源目UCL组IP协议类型ICMP类型TCP/UDP源/目的端口号等定义规则
常见应用有限制用户组上网访问和某些功能
匹配顺序
配置匹配
人为手动按照配置规则编号依次向下检测
自动匹配
采用深度优先自动排序为从上到下精确度越来越低
比较原则
1.比较二层通配符1多优先
2.比较源MAC1多优先
3.比较目MAC1多优先
因为MAC地址的通配符与IP相反1是精确匹配0是大致匹配不指定默认为全f即范围内只有一个MAC地址
4.IP类协议优先
5.源IP地址范围通配符0多优先
6.目IP地址范围通配符0多优先
7.比较端口号范围小的优先
8.编号小的优先
总之从底层往上比较比较二层然后三层最后四层先检测源再检测目最后看标号
Prefix List前缀列表
可理解为高级ACL主要用于路由过滤和策略控制相较与ACL前缀列表更简单更高效更精确
相关概念
index索引号默认步长为15
ip-addressip地址即要匹配的网段
mask-length掩码长度
greater-equal大于等于掩码长度
less-equal小于等于掩码长度
动作permit/deny允许/拒绝
匹配原则
1.前缀列表中的规则按照索引号从小到大的顺序进行匹配
2.一旦路由与某个规则匹配成功路由器就不会再尝试匹配其他规则立即退出匹配
3.如果路由没有与任何规则匹配那么它会被默认拒绝通过前缀列表
总结
ACL功能多可配置内容多但在路由控制这块效率偏低且操作繁琐不适用大型网络而前缀列表正好可以解决ACL路由控制和策略管理的缺陷
