网络规划与组建整套课件完整版电子教案.ppt

5.2 任务二 ACL配置 4. ACL应用位置 ① 标准ACL 由于标准ACL无法指定目的地址，因此在应用ACL时应尽量靠近目的网段，以免“误伤”其它数据包。 ② 扩展ACL 由于扩展ACL更精确，因此在应用ACL时应尽量靠近被拒绝数据包的地方，可以将不必要的数据尽早过滤掉。 5.2 任务二 ACL配置 5. ACL的匹配顺序 （1）Cisco ACL ① 按顺序执行，只要有一条满足，则不会继续查找。 ② 隐含拒绝，如果都不匹配，那么一定匹配最后的隐含拒绝条目，思科默认拒绝。 ③ 任何条件下只给用户能满足他们需求的最小权限。 5.2 任务二 ACL配置 （2）H3C ACL 支持两种匹配顺序： ① 顺序匹配（config）：按照用户配置规则的先后顺序进行规则匹配。 ② 自动排序（auto）：按照“深度优先”的顺序进行规则匹配，即优先考虑地址范围小的规则。 注：在配置华为H3C的ACL时的过程中，一定要注意匹配顺序，默认情况下为顺序匹配（config）。 5.2 任务二 ACL配置 6.通配符掩码 通配符掩码（wildcard-mask）路由器使用的通配符掩码（或反掩码）与源或目标地址一起来分辨匹配的地址范围，它跟子网掩码刚好相反。 通配符掩码＝255－掩码.255－掩码.255－掩码.255－掩码 举例： 求子网掩码48通配符掩码。 通配符掩码＝255－掩码.255