作用:
1. 抓取信息源,匹配路由,路由策略
2. 抓取数据流,数据过滤→默认允许所有-黑名单,数据选路,策略路由
分类:
1. 基本acl:2000-2999 只能匹配源,适合抓取路由
2. 高级acl:3000-3999 可以匹配五元组,更适合抓数据流
3. 基于接口:1000-1999
4. 基于二层mac地址:4000-4999
5. 自定义:acl mane permit-to-VPN
特点:
1. 注:做访问控制时,一个接口的同一个方向,只能调用一个acl,traffic-filter outbound acl 3000
2. 注:一个acl里面可以有多个rule规则,从上往下依次执行,匹配顺序
3. 注:数据包一旦被某rule匹配,就不再继续向下匹配,→先精细后宽泛
4. 注:用来做数据包访问控制时,默认隐含放行所有(华为设备)默认黑名单
允许个别,拒绝所有=白名单→cisco
拒绝个别,允许所有=黑名单→huawei
做数据过滤需要关心数据流方向,与路由传递方向相反
原则:离访问源越近效果越好,影响范围越小
标签:匹配,Acl,访问控制,抓取,列表,数据流,acl,路由 From: https://blog.51cto.com/u_16238091/8245930