白日放歌须纵酒,青春作伴好还乡。这篇文章主要讲述思科与华为ACL使用区别相关的知识,希望能为你提供帮助。
ACL在交换机路由器上会时常使用到,一般用的场景主要为:网络间的访问控制;
策略路由等高层控制机制的调用。
在实际使用过程中思科和华为的设备对于ACL的使用是存在一定的区别的。本文将对现实中遇到的区别做些说明及举例让初学者有一定的认识。
一、思科ACL
ACL大量的应用与交换机、路由器、防火墙等设备上,ACL是各种网络访问控制策略的基础"网元"。在思科ACL体系中默认有个隐式ACE 为deny any。我们知道ACL有一条条规则(ACE)组成。
access-list 100
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
上面那条ACL 定义了 1网段能访问2网段,那其他网段之间是无法访问的因为默认有个隐式ACE deny any any 在后面只是我们看不到而已。
写完一个ACL如果只是用来控制访问的话,acl可以在物理接口、逻辑三层接口上调用当有匹配到流量后将执行ACE的相关动作(允许或者禁止)
【思科与华为ACL使用区别】当ACL为更高一级应用调用时含义也就有些区别了,以下我们以策略路由中的ACL为例说明:
access-list 100
deny
ip 192.168.1.0 0.0.0.255 10.1.1.0
0.0.0.255
access-list 100
permit ip 192.168.1.0 0.0.0.255 10.1.0.0
0.0.255.255
上面的ACL的在策略路由中调用后的结果是: 192.168.1.0/24访问10.1.0.0/16网络中除10.1.1.0/24外的流量将被匹配到,此匹配到的流量将根据策略路由的规则进行处理。
二、华为ACL
华为ACL写法与思科的写法稍微有点区别的,如果想要实现上面思科access-list 100
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255的一样的功能则华为的写法如下:
acl number 3000
rule 5
permit ip source 192.168.1.0 0.0.0.255
destination 192.168.2.0
0.0.0.255
rule 10
deny
ip any (为什么要加这条ACE)见下面的表格说明
完成ACL后可以在相应的物理接口、VLAN中直接调用 (华为称简化流策略)调用方法如下:
1、在接口上调用traffic-filter inbound acl 3000
2、在vlan中调用traffic-filter vlan vlan-id inbound acl 3000
而被策略路由调用时就有很大的差别了,华为有几个步骤
1、配置流分类 traffic classifier
classifier-name
调用ACL
2、配置流行为 traffic behavior
定义动作 permit/deny
3、配置流策略 traffic policy policy-name
执行命令classifier
classifier-name
behavior
behavior-name,在流策略中为指定的流分类配置所需流行为,即绑定流分类和流行为。
4、应用流策略
在接口、VLAN视图、全局视图下,执行命令traffic-policy
policy-name
inbound
|
outbound
,应用流策略
如果想要实现思科的策略路由流量匹配一样的效果则华为需要写以下两个ACL才能实现与思科一样的效果
acl number 3000
rule 5 permit
ip source 192.168.1.0 0.0.0.255
destination 10.1.1.0 0.0.0.255
acl number 3001
rule 5 permit
ip source 192.168.1.0 0.0.0.255
destination 10.1.0.0 0.0.255.255
之后在创建的两个流分类中分别调用acl 3000 和acl 3001 ,接着创建两个流动作第一个流动作为permit 最后在流策略traffic-policy中同时引用两个流策略和流行为,acl3000的流策略流行为需放在前面,最后在接口或者vlan、全局中调用流策略。
示例:
class 123
if-match acl 3000
class 456
if-match acl 3001
beh 123
permit
beh 456
redirect ip-nexthop x.x.x.x
traffic policy 123456
class 123 beh 123
class 456 beh 456
interface Vlanif2005
traffic-policy 123456 inbound
推荐阅读
- client-go gin的简单整合四-list-watch初探
- netty系列之:在netty中实现线程和CPU绑定
- 安装 aconda 后Linux的终端界面前部出现(base)字样
- Linux目录和文件权限
- 视频推荐(Linux 的make自动化编译和通用makefile)
- Java中的线程到底有哪些安全策略
- Linux中scanf类型匹配错误,特指scanf(
- 在CentOS7上安装最新版本的Zabbix5
- docker weave网络