ACL的组成与原理_match-order config

一、ACL的组成

ACL由若干条permit或deny语句组成。每条语句就是该ACL的一条规则，每条语句中的permit或deny就是与这条规则相对应的处理动作。

 二、ACL应用

ACL两种应用：

1.应用在接口的ACL----过滤数据包

2.应用在路由协议----匹配相应的路由条目

3.NAT、IPSEC VPN、QOS----匹配感兴趣的数据流

三、ACL的工作原理

当数据包从接口经过是，由于接口启用了ACL，此时路由器会对报文进行检查，然后做出相应的处理。

四、ACL种类

编号2000-2999------基本ACL---依据数据包当中的源IP地址匹配数据

编号3000-3999------高级ACL---依据数据包当中源、目的IP，源、目的端口、协议号匹配数据

编号4000-4999------二层ACL，MAC、VLAN-ID、802.1q

五、基本命令

创建基本ACL

acl-number：#指定访问控制列表的编号。

match-order config：#指定ACL规则的匹配顺序，config表示配置顺序。

#使用编号（2000～2999）创建一个数字型的基本ACL，并进入基本ACL视图。

acl name acl-name { basic | acl-number } [ match-order config ]
#使用名称创建一个命名型的基本ACL，并进入基本ACL视图。

acl-name：#指定创建的ACL的名称。

basic：#指定ACL的类型为基本ACL。

配置基本ACL的规则

[Huawei-acl-basic-2000] rule [ rule-id ] { deny | permit } [ source {source-address source-wildcard | any } | time-range time-name ]
#在基本ACL视图下，通过此命令来配置基本ACL的规则。

rule-id：#指定ACL的规则ID。

deny：#指定拒绝符合条件的报文。

permit：#指定允许符合条件的报文。

source { *source-address source-wildcard* | any }：#指定ACL规则匹配报文的源地址信息。如果不配置，表示报文的任何源地址都匹配。其中：

source-address：#指定报文的源地址。
source-wildcard：#指定源地址通配符。
any：#表示报文的任意源地址。相当于source-address为0.0.0.0或者source-wildcard为255.255.255.255。
time-range time-name：#指定ACL规则生效的时间段。其中，time-name表示ACL规则生效时间段名称。如果不指定时间段，表示任何时间都生效。

高级ACL的基础配置命令

创建高级ACL

acl [ number ] acl-number [ match-order config ]
#使用编号（3000～3999）创建一个数字型的高级ACL，并进入高级ACL视图。

acl name acl-name { advance | acl-number } [ match-orderconfig ]
 #使用名称创建一个命名型的高级ACL，进入高级ACL视图。