分析ACL和RouteMap的permit和deny规则在路由重分配时的动作

网络基础之ACL规则访问控制列表（Access Control list, ACL) 是路由器和交换机接口的指令列表，用来控制端口进出的数据包，ACL适用于所有的被路由协议，如IP、IPX、AppleTak等。

简而言之，ACL可以过滤网络中的流量，是控制访问的一种网络技术手段。

访问控制列表的作用1.提供网络访问的基本安全手段2.访问控制列表可用于QOS,对数据流量进行控制3.提供对通信流量的控制1、ACL分类按照ACL规则功能的不同，ACL被划分为基本ACL、高级ACL、二层ACL、用户自定义ACL和用户ACL这五种类型。

每种类型ACL 对应的编号范围是不同的。

ACL 2000属于基本ACL，ACL 3998属于高级ACL。

高级ACL可以定义比基本ACL更准确、更丰富、更灵活的规则，所以高级ACL的功能更加强大。

2、ACL规则每个ACL作为一个规则组，可以包含多个规则。

规则通过规则ID （rule-id）来标识，规则ID可以由用户进行配置，也可以由系统自动根据步长生成。

一个ACL中所有规则均按照规则ID从小到大排序。

规则ID之间会留下一定的间隔。

如果不指定规则ID时，具体间隔大小由“ACL的步长”来设定。

例如步长设定为5，ACL规则ID分配是按照5、10、15……来分配的。

如果步长值是2，自动生成的规则ID从2开始。

用户可以根据规则ID方便地把新规则插入到规则组的某一位置。

报文到达设备时，设备从报文中提取信息，并将该信息与ACL中的规则进行匹配，只要有一条规则和报文匹配，就停止查找，称为命中规则。

查找完所有规则，如果没有符合条件的规则，称为未命中规则。

ACL的规则分为“permit”（允许）规则和“deny”（拒绝）规则。

综上所述，ACL可以将报文分成三类：命中“permit”规则的报文命中“deny”规则的报文未命中规则的报文配置规则1.每个接口、每个协议或每个方向上只可以应用一个访问列表。

（因为ACL末尾都隐含拒绝的语句，经过第一个ACL的过滤，不符合的包都被丢弃，也就不会留下任何包和第二个ACL比较）。

1. 一个接口能配多个辅助地址，secondary。

例：R1(config-if)# int lo1R1(config-if)#ip add 7.0.0.1 255.0.0.0R1(config-if)#ip add 8.0.0.1 255.0.0.0 secondaryR1(config-if)#ip add 9.0.0.1 255.0.0.0 secondary2. ACL单独使用与被route-map嵌套使用的区别：①单独的ACL本身有两个属性：a.匹配：用ip add 和通配符或反掩码相结合，来找到对应的数据。

b.对匹配的数据执行决策：允许或拒绝。

②ACL被route-map嵌套使用时：a.ACL这时只有一个属性：permit代表匹配、deny代表不匹配。

b.由route-map来执行决策：permit代表放行，deny代表过滤。

综上：①中ACL自己干两个活；②中ACL与route-map每人各干一个活，这样既能显示匹配的----用acl的per表示，又能显示不匹配的---用acl的deny 标记（这时因为是不匹配，所以route-map的任何决策都不能起作用）；acl 的deny只是在本条route-map下起一个给人提醒的作用，不会进入到下一条，而是消失或者说回归到总池中去。

3. route-map的特例：①当route-map的permit或deny条目为空时，代表允许或拒绝所有。

②如条目下嵌套的全是acl的deny，则以下至本章结尾均为解释：ACL和RouteMap的permit和deny规则在路由重分配时的动作A –--- B两台路由器通过E1/1接口直联，运行OSPF。

A路由器配置3条静态路由：ip route 7.0.0.0 255.0.0.0 Ethernet1/1ip route 8.0.0.0 255.0.0.0 Ethernet1/1ip route 9.0.0.0 255.0.0.0 Ethernet1/1A路由器ospf的配置如下：router ospf 1log-adjacency-changesredistribute static route-map testnetwork 0.0.0.0 255.255.255.255 area 11）在A路由器上，不配置任何ACL，只配置RouteMap，配置如下：route-map test permit 10match ip address 1此时ACL 1是一张空表。

ACL配置规则命令我来谈软考难点——ACL访问控制列表我们知道访问控制列表（ACL）是为了对路由器处理的流量进⾏过滤⽽在路由器上建⽴的规则，在今天路由的世界⾥它在改善⽹络性能和加强⽹络安全等⽅⾯已经发挥出越来越重要的作⽤。

但这个玩意是如何发挥作⽤的？教材上已经有详细的描述，我们这⾥简单的说⼀下。

我们来看看ACL的本质，ACL是访问控制列表的英⽂缩写，顾名思义，这个是在访问中加于控制⽽建⽴的⼀张列表。

现在，很多企业内部都在使⽤路由的NAT技术进⾏地址转换，⽽NAT技术中就包含了ACL的应⽤。

在中⾼端的路由中，通过ACL，我们可以控制哪些私有地址能上外⽹，哪些只能上内⽹。

然后把这些过滤好的数据，进⾏NAT转换。

同时，企业内部也需要对服务器的资源访问进⾏控制，通过ACL过滤出哪些⽤户能完全访问，哪些⽤户只能限制访问，哪些⽤户不能访问。

在从实际应⽤中，我们可以这样理解ACL的本质其实是⼀种流量分类技术，它是⼈为定义的⼀组或⼏组规则策略，⽬的是通过⽹络设备对数据流分类，以便执⾏⽤户规定的动作。

换句话说，ACL本⾝不能直接达到访问控制的⽬的，它间接辅助特定的⽤户策略，达到⼈们所需效果的⼀种技术⼿段（区分不同的数据流）。

理解的ACL的本质后我们再来看访问控制列表的作⽤1.提供⽹络访问的基本安全⼿段2.访问控制列表可⽤于QOS,对数据流量进⾏控制3.提供对通信流量的控制访问控制列表应⽤不同决定了路由不同的处理过程1.路由器对进⼊的数据包先检查⼊访问控制列表,对允许传输的数据包才查询路由表2.⽽对于外出的数据包则先查询路由表,确定⽬标接⼝后才查看出访问控制列表接⼀下再来看访问控制列表的⼯作原理:ACL使⽤包过滤技术，在路由器上读取第三层及第四层包头中的信息，根据预先定义好的规则，对包进⾏过滤，从⽽达到访问控制的⽬的。

ACL适⽤于所有的路由器协议：如IP、IPX、AppleTalk，可以在路由器或多层交换机来配置来控制来⾃特定⽹络资源的访问。

ROUTE-POLICY 策略路由规则详解在工程中经常遇到route-policy用于策略路由的情况，下面就对route-polic和ACL间的匹配规则详解如下：一、试验环境A(E0/0)--192.168.1.0--(E0/0)B(S0/0)--10.0.0.0--(S0/0)C(E0/0)--192.168.2.0--(E0/0)D拓扑说明：AB之间的网段为192.168.1.0 。

AB分别通过E0/0口互联。

CD之间的网段为192.168.2.0 。

CD分别通过E0/0口互联。

BC之间分别通过S0/0 中间通过帧中继交换机互联,共配置3个子接口，DLCI分别是100 200 300（两端相同）。

二、测试结论：未做任何策略#interface Ethernet0/0ip address 192.168.1.1 255.255.255.0=在路由器A Tracert路由结果如下：<AR2810-A>dis clock08:48:03 UTC Fri 11/28/2008<AR2810-A>tracert -m 5 -a 192.168.1.2 192.168.2.2traceroute to 192.168.2.2(192.168.2.2) 5 hops max,40 bytes packetPress CTRL_C to break1 192.168.1.1 3 ms 1 ms2 ms2 10.0.0.10 19 ms 18 ms 19 ms3 192.168.2.2 20 ms 21 ms 20 ms由此可得出未做route-policy的时候，是按照全局路由表中的路由条目转发数据流的。

1、permit+permit#interface Ethernet0/0ip address 192.168.1.1 255.255.255.0ip policy route-policy t1#acl number 3000rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255acl number 3001rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255#route-policy t1 permit node 10if-match acl 3000apply ip-address next-hop 10.0.0.2route-policy t1 permit node 20apply ip-address next-hop 10.0.0.6在路由器A Tracert路由结果如下：<AR2810-A>dis clock08:50:33 UTC Fri 11/28/2008<AR2810-A>tracert -m 5 -a 192.168.1.2 192.168.2.2traceroute to 192.168.2.2(192.168.2.2) 5 hops max,40 bytes packetPress CTRL_C to break1 192.168.1.12 ms 2 ms 1 ms2 10.0.0.2 20 ms 20 ms 22 ms3 192.168.2.2 19 ms 20 ms 19 ms由此结果可得出此时数据流匹配了规则node 10 。

ROUTE-POLICY 路由策略规则详解在实际工程中经常用到route-policy的情况，下面对route-policy和ACL的详细匹配规则做以说明：一、标准访问列表：#acl number 2000rule 0 permit source 192.168.1.0 0.0.0.255此类ACL用于route-policy时做前缀匹配，即路由条目和规则条目做AND 运算，结果落在反掩码的包含范围之内的则匹配成功。

对于上述配置：192.168.1.0/24 192.168.1.0 /25 192.168.1.0/30 等均可匹配，但是192.168.1.0/16 等则匹配不成功。

二、扩展访问列表：#acl number 3000rule 0 permit ip source 192.168.1.0 0 destination 255.255.255.0 0acl number 3001rule 0 deny ip source 192.168.1.0 0 destination 255.255.255.0 0此类ACL比较特殊，源和目的的掩码均要为0 。

用于route-policy 是要做严格的匹配，即前缀要和source 匹配，前缀的掩码部分要和destination匹配。

对于上述配置3000来说，则只有192.168.1.0/24可与之匹配。

此类列表和Route-policy 配合可用于严格的匹配一条路由条目。

三、permit+permit的route-policy#route-policy t1 permit node 10if-match acl 3000apply local-preference 1300route-policy t1 permit node 20对于route-policy的permit规则来说，凡是能够匹配ACL permit规则的条目就执行node 10中的apply 规则，并不再继续匹配下面的规则。

route-map 可以应用在两种不同的地方：redistribute 和policy routing，但是区别必须搞清楚：一、deny语句1、route-map 中的deny语句如果匹配，redistribute时匹配的条目将不被重分发。

2、route-map 中的deny语句如果匹配，policy routing时，不再做策略路由，而交由正常路由表去转发。

二、默认的deny allroute-map 同access-list 一样，最后都有隐含的deny all三、route-map语句顺序号1、在编辑route-map 时，如不注明permit xx ，第一句默认为permit 10例：route-map crackermatch ip address 101set ip next-hop 211.81.157.1route-map crackermatch interface f0/0set metric 100相当于：route-map cracker permit 10match ip ad 101set ip next-hop 211.81.157.1route-map cracker permit 20match int f0/0set metric 1002、删除某条目时，如不注明语句号，则直接删除整个route-map例：no route-map cracker上面这条命令会删除整个route-map，而不是我们想删除的20语句，正确的用法是：no route-map cracker 203、match 语句如果放在同一语句下，则为匹配所有：例3-1：route-map cracker permit 10match ip address 101match ip length 1500set ip next-hop 211.81.157.1set metric 100上例表示，同时满足这两种条件时，设置metric并转发至211.81.157.1例3-2：route-map cracker permit 10match ip address 101set ip next-hop 211.81.157.1route-map cracker permit 20match ip address 102set ip next-hop 211.81.157.2route-map cracker permit 30上例表示，顺序匹配各条语句，但是一旦有一条语句被匹配，则跳出route-map。

一个路由器上两种路由协议怎样重分布竭诚为您提供优质文档/双击可除一个路由器上两种路由协议怎样重分布篇一：路由协议的重分布路由协议的重分布一、定义：重分布是指连接到不同路由选择域的边界路由器在不同自主系统之间交换和通告路由选择信息的能力。

二、重分布原则：路由必须位于路由选择表中才能被重分发showiproute看到的三、在重分发时设定种子metric协议seedmetricRip必须手工指定eigRp必须手工指定ospF20如果重分布进来的是bgp的话，metric是1，这是个特例is-is0bgp携带原来的metric值R1(config-router)#default-metric1使用此命令来设定种子metric值四、重分布分两种：1、单向重分布2、双向重分布1）ospF->Rip：将其它路由协议重分布进Rip，要注意加metric值R1(config)#routerripR1(config-router)#redistributeospf110metric1（优于default-metric命令）也可用以下方法指定metric值R1(config-router)#default-metric3（默认seedmetric=infinity无限大，修改seedmetric ＝3）R1(config-router)#redistributeconnected（可不加metric，默认＝1）重分布直连R1(config-router)#redistributestatic（可不加metric，默认＝1）重分布静态，路由前会打上R 2）Rip->ospF：将其它路由协议重分布进ospF，要注意加subnets参数R1(config)#routerospf110R1(config-router)#redistributeripsubnets（如不加subnets，默认只有主类地址能被重分布）默认的metric值为20，也可用以下命令指定:R1(config-router)#default-metric8R1(config-router)#redistributeripsubnetsmetric10 （默认seedcost=20，如果将bgp->ospF，默认＝1）R1(config-router)#redistributeripsubnetsmetric10met ric-type1（加上路径cost,默认为e2）R1(config-router)#redistributeconnectedsubnets R1(config-router)#redistributestaticsubnets还可在后面加router-map来过滤路由3）isis->eigRp：将其它路由协议重分布进eigRp时也要指定metric值R1(config)#routereigrp90R1(config-router)#default-metric150010025511500R1(config-router)#redistributeisislevel-1-2metric15 4410025511500默认为level-2bwdlyRlomtu（不加metric,默认seedmetric=infinity）带宽延迟可靠性负载mtuR1(config-router)#redistributeconnected（不加metric也可）(根据直连接口的不同计算metric)R1(config-router)#redistributestatic（不加metric 也可）(根据下一跳接口计算metric）·注意：当把isis重分布进其他路由协议时，运行isis 的直连接口不能重分布进去，这是isis本身的bug。

acl访问控制列表规则ACL（Access Control List）访问控制列表是网络设备中一种非常重要的安全机制，用于控制网络流量的进出。

ACL规则是一组用于过滤网络流量的条件和动作。

本文将介绍ACL规则的概述、常见的ACL规则类型、ACL规则的格式以及编写ACL规则时需要考虑的一些关键因素。

ACL规则概述：ACL是一种在网络设备中实现流量过滤和网络访问控制的方法。

它根据预先定义的规则，对网络流量的源IP地址、目标IP地址、端口号等进行匹配，然后根据匹配结果决定是否允许流量通过。

通过配置ACL规则，网络管理员可以控制哪些流量可以进入网络，哪些流量可以离开网络，以增加网络的安全性和性能。

常见的ACL规则类型：1. 标准ACL规则：基于源IP地址来过滤流量，仅可以控制流量的进入。

2. 扩展ACL规则：可以基于源IP地址、目标IP地址、协议、端口号等多个条件来过滤流量，可以控制流量的进入和离开。

3. 命名ACL规则：可以给ACL规则设置名称，方便管理和维护。

ACL规则格式：ACL规则的格式通常包括以下几个部分：1. 序号：每条ACL规则都有一个唯一的序号，用于确定规则的优先级。

序号从1开始，按照递增的顺序执行规则。

2. 条件：ACL规则的条件部分描述了要匹配的流量的属性。

常见的条件包括源IP地址、目标IP地址、协议、端口号等。

3. 动作：ACL规则的动作部分描述了匹配条件后执行的操作。

常见的动作包括拒绝（Deny）和允许（Permit）。

编写ACL规则的关键因素：1. 流量方向：明确规定ACL规则是用于控制流量的进入还是离开。

2. 条件的选择：根据实际需求选择合适的条件，例如源IP地址、目标IP地址、协议、端口号等。

3. 规则的顺序：根据实际需求合理排序ACL规则，确保执行的顺序正确。

4. 规则的优先级：根据ACL规则的序号确定规则的优先级，越小的序号优先级越高。

5. 记录和审查：记录ACL规则的变更和审查规则的有效性是一个重要的管理步骤。

route-map配置案例route-map配置是网络设备中常用的一种策略路由配置方式，通过route-map可以对路由进行控制和过滤，实现灵活的路由策略。

下面是一些route-map配置案例，旨在帮助读者更好地理解和应用route-map。

1. 配置案例一：基于访问控制列表（ACL）的路由策略控制route-map ACL-POLICY permit 10match ip address ACL-1set metric 100route-map ACL-POLICY permit 20match ip address ACL-2set metric 200route-map ACL-POLICY deny 30set metric 500route-map ACL-POLICY permit 40set metric 300route-map ACL-POLICY permit 50set metric 400这个配置案例中，通过route-map ACL-POLICY对路由进行了访问控制列表ACL-1和ACL-2的匹配，根据匹配结果设置不同的路由度量值（metric）。

ACL-1匹配的路由度量值设置为100，ACL-2匹配的路由度量值设置为200，未匹配的路由度量值设置为500，最后两条permit语句设置了未匹配的路由度量值为300和400。

2. 配置案例二：基于访问控制列表（ACL）和策略路由的路由策略控制route-map ACL-POLICY permit 10match ip address ACL-1set ip next-hop 10.0.0.1route-map ACL-POLICY permit 20match ip address ACL-2set ip next-hop 10.0.0.2route-map ACL-POLICY deny 30set ip next-hop 10.0.0.3route-map ACL-POLICY permit 40set ip next-hop 10.0.0.4route-map ACL-POLICY permit 50set ip next-hop 10.0.0.5这个配置案例中，通过route-map ACL-POLICY对路由进行了访问控制列表ACL-1和ACL-2的匹配，根据匹配结果设置不同的下一跳地址（next-hop）。

acl反掩码规则ACL反掩码规则是网络安全中常用的一种策略控制技术，用于配置和管理网络设备的访问控制列表（ACL）。

通过使用ACL反掩码规则，可以限制或允许特定的网络流量，从而提高网络的安全性和性能。

本文将介绍ACL反掩码规则的原理、应用场景和配置方法。

一、ACL反掩码规则的原理ACL反掩码规则是基于源地址、目的地址和协议类型等信息来过滤网络流量的一种策略控制技术。

在ACL中，每条规则都由一个反掩码（wildcard mask）和一个掩码（mask）组成。

反掩码用于匹配需要过滤的网络流量，而掩码用于指定允许或拒绝匹配的条件。

ACL反掩码规则的匹配过程是逐位比较的。

当一个网络流量与ACL 规则中的反掩码进行匹配时，网络设备会将流量中的源地址与反掩码进行“与”操作，得到一个结果。

然后，再将该结果与掩码进行“或”操作，得到最终的匹配结果。

如果匹配结果为真，则网络流量会被允许通过；如果匹配结果为假，则网络流量会被拒绝。

二、ACL反掩码规则的应用场景ACL反掩码规则广泛应用于网络设备的访问控制、流量控制和安全策略等方面。

下面是几个常见的应用场景：1. 限制特定IP地址的访问：通过配置ACL反掩码规则，可以限制特定IP地址的访问网络资源，从而提高网络的安全性。

2. 阻止恶意流量：ACL反掩码规则可以用于阻止恶意流量，例如DDoS攻击、端口扫描等，从而减轻网络设备的负载压力。

3. 优化网络性能：通过配置ACL反掩码规则，可以限制或允许特定类型的网络流量，从而优化网络的性能。

例如，可以禁止P2P下载或限制视频流量，以减少网络拥塞。

4. 实现访问控制：ACL反掩码规则可以用于限制特定用户或用户组的访问权限，从而实现访问控制。

例如，可以禁止某些用户访问特定的网络资源。

三、ACL反掩码规则的配置方法配置ACL反掩码规则的方法因设备和操作系统而异。

下面是一个简单的示例，演示了如何在Cisco路由器上配置ACL反掩码规则：1. 进入路由器的配置模式：```enableconfigure terminal```2. 创建一个访问控制列表（ACL）：```access-list 10 permit 192.168.1.0 0.0.0.255```3. 创建一个反掩码规则：```ip access-list extended ACL-1permit ip any 192.168.1.0 0.0.0.255```4. 应用ACL反掩码规则到接口：```interface GigabitEthernet0/0ip access-group ACL-1 in```通过以上配置，ACL反掩码规则将会过滤进入GigabitEthernet0/0接口的流量。

访问控制列表-ACL匹配规则1 、ACL匹配机制⾸先，⼩编为⼤家介绍ACL匹配机制。

上⼀期提到，ACL在匹配报⽂时遵循“⼀旦命中即停⽌匹配”的原则。

其实，这句话就是对ACL匹配机制的⼀个⾼度的概括。

当然，ACL匹配过程中，还存在很多细节。

⽐如，ACL不存在系统会怎么处理？ACL存在但规则不存在系统会怎么处理？为了对整个ACL匹配过程展开详细的介绍，⼩编画了⼀张ACL匹配流程图，相信对⼤家理解ACL匹配机制能有所帮助。

从整个ACL匹配流程可以看出，报⽂与ACL规则匹配后，会产⽣两种匹配结果：“匹配”和“不匹配”。

l 匹配（命中规则）：指存在ACL，且在ACL中查找到了符合匹配条件的规则。

不论匹配的动作是“permit”还是“deny”，都称为“匹配”，⽽不是只是匹配上permit规则才算“匹配”。

l 不匹配（未命中规则）：指不存在ACL，或ACL中⽆规则，再或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则。

切记以上三种情况，都叫做“不匹配”。

⽆论报⽂匹配ACL的结果是“不匹配”、“允许”还是“拒绝”，该报⽂最终是被允许通过还是拒绝通过，实际是由应⽤ACL的各个业务模块来决定的。

不同的业务模块，对命中和未命中规则报⽂的处理⽅式也各不相同。

例如，在Telnet模块中应⽤ACL，只要报⽂命中了permit规则，就允许通过；⽽在流策略中应⽤ACL，如果报⽂命中了permit规则，但流⾏为动作配置的是deny，该报⽂会被拒绝通过。

2 、ACL规则匹配顺序从上⾯的ACL匹配报⽂流程图中，可以看到，只要报⽂未命中规则且仍剩余规则，系统会⼀直从剩余规则中选择下⼀条与报⽂进⾏匹配。

系统是根据什么样的顺序来选择规则进⾏报⽂匹配的呢？回答这个问题之前，先来看个例⼦。

假设我们先后执⾏了以下两条命令进⾏配置：rule deny ip destination 1.1.0.0 0.0.255.255 //表⽰拒绝⽬的IP地址为1.1.0.0⽹段的报⽂通过rule permit ip destination 1.1.1.0 0.0.0.255 //表⽰允许⽬的IP地址为1.1.1.0⽹段的报⽂通过，该⽹段地址范围⼩于1.1.0.0⽹段范围这条permit规则与deny规则是相互⽭盾的。

ACL和Route-Map中permit，deny对路由过滤的动作此实验讨论route-map中acl permit和any动作对路由过滤影响。

拓扑如图：验证一.R2access-list 10 permit 192.168.4.0 0.0.0.255access-list 10 permit 192.168.6.0 0.0.0.255!route-map kk permit 10match ip address 10!router eigrp 90redistribute ospf 110 metric 10000 100 255 1 1500 route-map kknetwork 23.1.1.2 0.0.0.0no auto-summaryeigrp router-id 1.1.1.1R3R3#sh ip routeGateway of last resort is not set23.0.0.0/24 is subnetted, 1 subnetsC 23.1.1.0 is directly connected, FastEthernet0/1192.168.4.0/32 is subnetted, 1 subnetsD EX 192.168.4.1 [170/307200] via 23.1.1.2, 01:24:13, FastEthernet0/1192.168.6.0/32 is subnetted, 1 subnetsD EX 192.168.6.1 [170/307200] via 23.1.1.2, 01:23:50, FastEthernet0/1从R3的路由表可知，Route-map 仅仅重分发了192.168.4.0/24和192.168.6.0/24的路由，过滤了其他的路由。

Route-map 末尾有一条隐含的deny any子句，这个子句拒绝了其他的路由，并不是acl 的隐含deny any 拒绝掉的。

访问控制列表的匹配顺序一个访问控制列表可以由多条“permit | deny”语句组成，每一条语句描述的规则是不相同，这些规则可能存在重复或矛盾的地方，在将一个数据包和访问控制列表的规则进行匹配的时候，到底采用哪些规则呢？就需要确定规则的匹配顺序。

有两种匹配顺序：●配置顺序●自动排序"配置顺序"，是指按照用户配置ACL的规则的先后进行匹配。

自动排序使用“深度优先”的原则。

“深度优先”规则是把指定数据包范围最小的语句排在最前面。

这一点可以通过比较地址的通配符来实现，通配符越小，则指定的主机的范围就越小。

比如129.102.1.1 0.0.0.0 指定了一台主机：129.102.1.1，而129.102.1.1 0.0.255.255 则指定了一个网段：129.102.1.1～129.102.255.255，显然前者在访问控制规则中排在前面。

具体标准为：对于基本访问控制规则的语句，直接比较源地址通配符，通配符相同的则按配置顺序；对于基于接口的访问控制规则，配置了“any”的规则排在后面，其它按配置顺序；对于高级访问控制规则，首先比较源地址通配符，相同的再比较目的地址通配符，仍相同的则比较端口号的范围，范围小的排在前面，如果端口号范围也相同则按配置顺序。

使用display acl命令就可以看出是哪条规则首先生效。

显示时，列在前面的规则首先生效。

注：①访问控制列表能被匹配的前提是Firewall Enable。

②要注意Firewall默认的规则是Permit还是Deny> 如果默认为permit，则没有被匹配的数据流采取的动作为允许。

> 如果默认为deny，则没有被匹配的数据流采取的动作为禁止。

例如：Acl number 3000rule 0 permit ip source 192.168.1.3 0(rule 1 deny ip any)-----在最后隐藏了这样一条命令，也就是说来此非192.168.1.3的数据流都被拒绝。

【干货分享】访问控制列表ACL笔记大全.......01访问控制列表ACL1.两大功能：流量控制匹配感兴趣流量2.ACL的3P规则：在每一个接口的每一个方向上，只能针对每种第三层协议应用一个ACLl 每种协议一个ACL ：要控制接口上的流量，必须为接口上启用的每种协议定义相应的 ACL。

l 每个方向一个 ACL ：一个 ACL 只能控制接口上一个方向的流量。

要控制入站流量和出站流量，必须分别定义两个 ACL。

l 每个接口一个 ACL ：一个 ACL 只能控制一个接口上的流量。

3.ACL的规范：l 每个接口,每个方向,每种协议,你只能设置1 个ACL。

l ACL的语句顺序决定了对数据包的控制顺序。

在ACL中各项语句的放置顺序是很重要的。

当路由器决定某一数据包是被转发还是被丢弃时，会按照各项语句在ACL中的顺序，根据各语句的判断条件，对数据包进行检查，一旦找到了某一匹配条件就结束比较过程，不再检查以后的其他条件判断语句l 把最有限制性的语句放在ACL语句的首行或者语句中靠近前面的位置上，把“全部允许”或者“全部拒绝”这样的语句放在末行或接近末行，可以防止出现诸如本该拒绝(放过)的数据包被放过(拒绝)的情况。

l 你不可能从ACL 从除去1 行,除去1 行意味你将除去整个ACL。

l 默认ACL 结尾语句是deny any，所以你要记住的是在ACL 里至少要有1 条permit 语句l 创建了ACL 后要把它应用在需要过滤的接口上，l ACL只能过滤穿过路由器的数据流量，不能过滤由本路由器上发出的数据包。

l 在路由选择进行以前，应用在接口in方向的ACL起作用。

l 在路由选择决定以后，应用在接口out方向的ACL起作用。

4.标准访问控制列表：只能根据源地址做过滤针对整个协议采取相关动作（允许或禁止）建议将标准访问控制列表放在里目的地址近的地方，因为标准访问控制列表只能对源IP地址进行过滤扩展访问控制列表：能根据源、目的地地址、端口号等等进行过滤能允许或拒绝特定的协议建议将扩展的访问控制列表放在离源IP地址近的地方，因为扩展访问控制列表可以进行更细化的一些过滤02ACL的范围1.ACL的入站及出站：03ACL的入站及出站2.入站：在路由选择进行以前，应用在接口in方向的ACL起作用。

华为acl规则网络中经常提到的acl规则是Cisco IOS所提供的一种访问控制技术。

初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机如2950之类也开始提供ACL的支持。

只不过支持的特性不是那么完善而已。

在其它厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方式都可能有细微的差别。

本文所有的配置实例均基于Cisco IOS的ACL进行编写。

基本原理：ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

功能：网络中的节点有资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。

ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。

在实施ACL的过程中，应当遵循如下两个基本原则：1.最小特权原则：只给受控对象完成任务所必须的最小的权限。

2.最靠近受控对象原则：所有的网络层访问权限控制。

3.默认丢弃原则：在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。

这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

局限性：由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

因此，要达到end to end的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

acl规则要如何写？1、设置acl ：acl number 3000rule 0 permit ip source 服务器端的子网掩码的反码//允许哪些子网访问服务器rule 5 deny ip destination 服务器端的子网掩码的反码//不允许哪些子网访问服务器2、绑定到端口：interface gig 0/1 //进入服务器所在的交换机端口[GigabitEthernet0/1] firewall packet-filter 3000 inbound //把acl绑定到端口设置下发的ACL规则生效顺序acl match-order { config | auto }命令可以acl规则下发前预先确定其在整个acl内的匹配顺序，而acl order命令用来指定规则下发到硬件后的匹配顺序。

华为acl规则网络中经常提到的acl规则是Cisco IOS所提供的一种访问控制技术。

初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机如2950之类也开始提供ACL的支持。

只不过支持的特性不是那么完善而已。

在其它厂商的路由器或多层交换机上也提供类似的技术，不过名称和配置方式都可能有细微的差别。

本文所有的配置实例均基于Cisco IOS的ACL进行编写。

基本原理：ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

功能：网络中的节点有资源节点和用户节点两大类，其中资源节点提供服务或数据，用户节点访问资源节点所提供的服务与数据。

ACL的主要功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制特定的用户节点所能具备的访问权限。

在实施ACL的过程中，应当遵循如下两个基本原则：1.最小特权原则：只给受控对象完成任务所必须的最小的权限。

2.最靠近受控对象原则：所有的网络层访问权限控制。

3.默认丢弃原则：在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。

这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

局限性：由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

因此，要达到end to end的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

acl规则要如何写？1、设置acl ：acl number 3000rule 0 permit ip source 服务器端的子网掩码的反码//允许哪些子网访问服务器rule 5 deny ip destination 服务器端的子网掩码的反码//不允许哪些子网访问服务器2、绑定到端口：interface gig 0/1 //进入服务器所在的交换机端口[GigabitEthernet0/1] firewall packet-filter 3000 inbound //把acl绑定到端口设置下发的ACL规则生效顺序acl match-order { config | auto }命令可以acl规则下发前预先确定其在整个acl内的匹配顺序，而acl order命令用来指定规则下发到硬件后的匹配顺序。

VLAN映射表配置与VLAN ACL及router map比较VLAN映射表配置配置步骤：1、定义vlan的访问图，访问图可以有多条语句，每个语句有一个编号2、定义匹配条件，可以匹配ip address、mac addres3、执行动作，丢弃、转发、重定向4、应用vlan的访问图到指定的vlan #vlan filter map-name vlan_list listVLAN访问控制（VACL），也称为VLAN访问映射表，它应用于VLAN中的所有通信流，支持基于ETHERTYPE和MAC地址的过滤，可以防止未经授权的数据流进入VLAN。

目前支持的VACL操作有三种：转发(forward)，丢弃(drop)，重定向(redirect)。

VACL很少用到，在配置时要注意以下几点：1) 最后一条隐藏规则是deny ip any any，与ACL相同。

2) VACL没有inbound和outbound之分，区别于ACL。

3) 若ACL列表中是permit，而VACL中为drop，则数据流执行drop。

4) VACL规则应用在NAT之前。

5) 一个VACL可以用于多个VLAN中；但一个VLAN只能与一个VACL关联。

6) VACL只有在VLAN的端口被激活后才会启用，否则状态为inactive。

例：三层交换机上,用VLAN间ACL实验环境：VAN10,VLAN20,VLAN30。

要求VLAN20,30都能访问VLAN10,但20,30之间不能相互访问.三层switch配置：access-list 120 permit ip any 192.168.30.0 0.0.0.255access-list 130 permit ip any 192.168.20.0 0.0.0.255vlan access-map deny20-30 100 定义vlan的访问图deny20-30，序号100match ip add 120 定义匹配条件，匹配access-list 120action drop 执行动作exitvlan filter deny20-30 vlan-list 20 vlan20上应用VACLvlan access-map deny30-20 101match ip add 130action dropexitvlan filter deny30-20 vlan-list 30策略路由配置使用route mapRoute map与access-list非常相似自上而下的运行检查, 找到一个匹配就离开route map行带有顺序号容易编辑，可以随意插入和删除Route map是命名的，容易归档，Match…set…实例一：拓扑图试验1: 基于源地址的策略路由。

route-policy和acl的判断流程route-policy 和 ACL（Access Control List）是网络设备中用于路由控制和流量过滤的重要工具。

route-policy（路由策略）是用于根据特定的匹配条件来控制网络流量的工具。

它由多个匹配条件和相应的操作组成。

在每个网络设备上，都会有一个预定义的route-policy列表，每一个route-policy都包含一个或多个匹配条件和一个或多个操作。

当网络设备收到一个数据包时，它会逐个对比所有的route-policy列表中的策略，以找到第一个匹配条件与数据包内容相符的策略。

一般来说，route-policy中的匹配条件可以包括源地址、目标地址、协议类型、端口号等。

同时，还可以设置条件的优先级，以确保匹配的顺序。

一旦匹配成功，那么该策略中定义的操作将被执行。

操作可以包括路由选择、修改数据包的属性，例如修改源目标地址和源目标端口等，或者丢弃/阻塞该数据包。

最后，设备会根据修改的结果选择合适的下一步动作，例如转发给某个特定路由或者传送到下一个设备进行继续处理。

而 ACL（访问控制列表）是用于过滤网络流量的一种机制。

它由一组规则组成，每个规则描述了允许或拒绝数据包通过设备的条件。

与route-policy不同的是，ACL在网络设备中是从顶向下执行的，遇到第一个匹配条件后将会停止执行后续规则。

ACL可以根据源/目标IP地址、协议类型、端口号等信息进行匹配。

一旦匹配成功，根据规则中的配置可以决定是允许还是拒绝该数据包通过设备。

实际上，ACL和route-policy在功能上有很多相似之处，都可以实现流量控制的目的。

较为常见的区别在于，ACL一般被应用于路由器的接口级别，通过对进出接口的流量进行过滤，而route-policy通常应用于更高级的网络设备中，如策略路由器或高级交换机，可以更加灵活地定义和处理流量。

总体而言，route-policy和ACL的判断流程如下：1. 当数据包到达网络设备时，设备会逐个对比预定义的route-policy或ACL规则。

分析ACL和RouteMap的permit和deny规则在路由重分配时的动作(以CISCO路由器为例) A –--- B 两台路由器通过E1/1接口直联，运行OSPF。

A路由器配置3条静态路由：ip route 7.0.0.0 255.0.0.0 Ethernet1/1ip route 8.0.0.0 255.0.0.0 Ethernet1/1ip route 9.0.0.0 255.0.0.0 Ethernet1/1A路由器ospf的配置如下：router ospf 1log-adjacency-changesredistribute static route-map testnetwork 0.0.0.0 255.255.255.255 area 11）在A路由器上，不配置任何ACL，只配置RouteMap，配置如下：route-map test permit 10match ip address 1此时ACL 1是一张空表。

配置完成之后过几秒钟，在B路由器上查看OSPF的路由表，如下：Link ID ADV Router Age Seq# Checksum Tag7.0.0.0 192.168.1.1 52 0x80000001 0x0073BA 08.0.0.0 192.168.1.1 1207 0x80000001 0x0066C6 09.0.0.0 192.168.1.1 1207 0x80000001 0x0059D2 0A路由器上的三条静态路由都成功的重分配进OSPF，并传给了B路由器。

单步总结：当RouteMap引用的ACL是一张空表时，对应的规则是permit any。

2）在A上配置ACL 1，只有一个permit规则，此时ACL和RouteMap的配置如下：access-list 1 permit 7.0.0.0 0.255.255.255!route-map test permit 10match ip address 1此时，在B路由器上，就只能看到7.0.0.0这条路由，如下：Link ID ADV Router Age Seq# Checksum Tag7.0.0.0 192.168.1.1 140 0x80000001 0x0073BA 0A路由器只重分配了7.0.0.0这条路有进OSPF，另外两条就被过滤掉了。

acl permit规则-回复ACL (Access Control List) 是一种网络安全技术，它用于控制网络设备中的数据流，以便允许或拒绝特定类型的网络流量通过网络设备。

在计算机网络中，ACL permit规则是指允许特定种类的数据流通过网络设备的规则。

本文将详细介绍ACL permit规则以及如何设置和应用这些规则。

首先，ACL permit规则是一种配置在网络设备中的规则，它用于允许特定类型的数据流通过网络设备。

通过设置ACL permit规则，网络管理员可以精确控制数据包的流动，以确保网络的安全性和性能。

ACL permit规则可以根据多个条件进行配置。

最常用的条件包括源IP地址、目标IP地址、协议类型（如TCP、UDP、ICMP等）、源端口号和目标端口号等。

通过设置这些条件，网络管理员可以准确地定义允许通过网络设备的数据流。

为了设置ACL permit规则，首先需要登录到网络设备的管理界面。

一般来说，网络设备的管理界面可以通过Web浏览器或命令行界面进行访问。

一旦登录成功，管理员可以访问ACL配置界面，并开始设置ACL permit 规则。

在ACL配置界面中，管理员可以选择新建一个ACL规则集或修改现有的ACL规则集。

规则集是一组相关的ACL规则的集合。

每个ACL规则对应于一条允许或拒绝特定类型数据流的规则。

在新建或修改ACL规则集时，管理员需要给ACL规则集命名，并为规则集添加ACL规则。

每个ACL规则包括一个唯一的序号，用于确定规则的顺序，以及一组条件和动作。

在ACL规则中，管理员需要指定一组条件，以便确定规则适用的数据流。

这些条件可以根据需要进行组合，并使用逻辑运算符（如AND、OR、NOT）连接。

例如，管理员可以配置一个规则，允许源IP地址为192.168.0.1的数据流通过网络设备。

除了条件之外，ACL规则还包括一个动作，用于指定数据流是否被允许通过。

在ACL permit规则中，动作通常被设置为“permit”，表示允许数据流通过网络设备。