1、ACL中可以包含多个规则,每个规则都指定不同的报文匹配选项如图所示。系统默认的匹配顺序是config,可通过命令设置匹配顺序。
2、如图所示,同样一条ACL因匹配顺序不同窑钕仇焱结果会不同。图上方匹配顺序config则1.1.1.1的数据报文允许通过,图下方匹配顺序auto则1.1.1.1的数据报文将被丢弃。
3、部署ACL包过滤防火墙,如图所示需慎重考虑实施位置。基本ACL应尽可能使ACL靠近被拒绝的源,高级ACL应部署在靠近被过滤源的接口上。
4、如图所示,实施ACL包过滤阻断从主机P觊皱筠桡CA到NetworkA和NetworkB的数据包。用基本ACL来实现,应在RTA的E0/1接口上配置入方向的基本ACL过滤。
5、如图所示,同样阻断从主机PCA到NetworkA和NetworkB的数据包。如果用高级ACL来实现,最好的实施位置是路由器RTC的E0/0接口上。
6、ACL位于OSI四层以下具有局限性如图所示,若有特殊要求则需使用其它网络安全技术。本例到此结束,希望对大家有所帮助。
