一�、思科與華為訪問控制列表分類的區(qū)別
1����、在華為路由器里訪問控制列表的用途,可以分為三類:
1)基本的訪問控制列表(basic acl)
基本訪問控制列表只能使用源地址信息�����,做為定義訪問控制列表的規(guī)則的元素���。通過上面小節(jié)介紹的acl的命令�����,可以創(chuàng)建一個基本的訪問控制列表�����,同時進入基本訪問控制列表視圖�����,在基本訪問控制列表視圖下���,可以創(chuàng)建基本訪問控制列表的規(guī)則����。
rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } ] [ time-range time-name ]
2)高級的訪問控制列表(advanced acl)
高級訪問控制列表可以使用數(shù)據(jù)包的源地址信息�����、目的地址信息��、IP承載的協(xié)議類型�、針對協(xié)議的特性,例如TCP的源端口����、目的端口,ICMP協(xié)議的類型��、code等內(nèi)容定義規(guī)則�。可以利用高級訪問控制列表定義比基本訪問控制列表更準(zhǔn)確����、更豐富、更靈活的規(guī)則�����。
rule [ rule-id ] { permit | deny } protocol [ source {sour-addr sour-wildcard | any }] [ destination { dest-addr dest-wildcard | any }] [ source-port operator port1 [ port2 ] ] [ destination-port
operator port1 [ port2 ] ] [ icmp-type icmp-type icmp-code ] [ precedence precedence ] [ tos tos ] [ time-range time-name ]
3)基于接口的訪問控制列表(interface-based acl)
基于接口的訪問控制列表����,是一種特殊的訪問控制列表,可以根據(jù)接收報文的接口指定規(guī)則�。
rule [ rule-id ] { permit | deny } { interface interface-type interface-number | any } [ time-range time-name ]
2、在思科路由器里訪問控制列表常見的有兩類
1)標(biāo)準(zhǔn)的訪問控制列表
跟華為的基本訪問控制列表一樣��,只檢查數(shù)據(jù)包的源地址���。
access-list ACL號 permit|deny host ip地址
2)擴展的訪問控制列表
跟華為的高級訪問控制列表類似���,既檢查數(shù)據(jù)包的源地址��,也檢查數(shù)據(jù)包的目的地址�����,同時還可以檢查數(shù)據(jù)包的特定協(xié)議類型�、端口號等���。
access-list ACL號 [permit|deny] [協(xié)議] [定義過濾源主機范圍] [定義過濾源端口] [定義過濾目的主機訪問] [定義過濾目的端口]
3)除了上述兩種訪問控制列表之外����,思科路由器中還有:基于名稱的訪問控制列表�、反向訪問控制列表、基于時間的訪問控制列表等���,但在日常維護中比較少使用����。
二��、思科與華為訪問控制列表編號范圍的區(qū)別
訪問控制列表的使用用途是依靠數(shù)字的范圍來指定的��。
1、在華為路由器里��,2000~2999范圍的訪問控制列表是基本的訪問控制列表����,3000~3999范圍的訪問控制列表是高級的訪問控制列表����,1000~1999是基于接口的訪問控制列表。
2�、在思科路由器里,標(biāo)準(zhǔn)的訪問控制列表使用 1~99 以及1300~1999之間的數(shù)字作為表號�,擴展的訪問控制列表使用 100~199以及2000~2699之間的數(shù)字作為表號。
三�、思科與華為訪問控制列表匹配順序的區(qū)別
1、華為路由器訪問控制列表匹配規(guī)則
一個訪問控制列表可以由多條“permit | deny”語句組成�,每一條語句描述的規(guī)則是不相同,這些規(guī)則可能存在重復(fù)或矛盾的地方�����,在將一個數(shù)據(jù)包和訪問控制列表的規(guī)則進行匹配的時候��,到底采用哪些規(guī)則呢�?就需要確定規(guī)則的匹配順序�。
有兩種匹配順序:
1)配置順序
配置順序����,是指按照用戶配置ACL的規(guī)則的先后進行匹配。
2)自動排序
自動排序使用“深度優(yōu)先”的原則��?����!吧疃葍?yōu)先”規(guī)則是把指定數(shù)據(jù)包范圍最小的語句排在最前面�����。這一點可以通過比較地址的通配符來實現(xiàn)���,通配符越小�����,則指定的主機的范圍就越小�����。比如129.102.1.1 0.0.0.0指定了一臺主機:129.102.1.1��,而129.102.1.1
0.0.255.255則指定了一個網(wǎng)段:129.102.1.1~129.102.255.255�����,顯然前者在訪問控制規(guī)則中排在前面��。具體標(biāo)準(zhǔn)為:對于基本訪問控制規(guī)則的語句����,直接比較源地址通配符����,通配符相同的則按配置順序;對于基于接口的訪問控制規(guī)則�����,配置了“any”的規(guī)則排在后面��,其它按配置順序���;對于高級訪問控制規(guī)則�,首先比較源地址通配符�,相同的再比較目的地址通配符����,仍相同的則比較端口號的范圍��,范圍小的排在前面��,如果端口號范圍也相同則按配置順序���。
使用那一種匹配順序���,在創(chuàng)建ACL的時候就可以指定。
acl [ number ] acl-number [ match-order { config | auto } ]
2���、思科路由器訪問控制列表匹配規(guī)則
思科路由器一般情況下采用順序匹配方式���,只要一條滿足就不會繼續(xù)查找,另外在思科的訪問控制列別中���,最后一條是隱含拒絕的���,即前面所有條目都不匹配的話,則默認(rèn)拒絕����。任何條件下只給用戶能滿足他們需求的最小權(quán)限���。
