ACL匹配异常问题排查案例
问题背景
当前环境部分业务需要通过策略路由定向至准入设备,部分业务无需经过准入设备,计划通过策略路由使部分IP直接访问资源、无需定向至行为管理
交换机版本:S12700 V200R013C00SPC500+v200r013sph002
问题现象
一个流策略中定义两个流分类与流行为,将无需定向的匹配项放在第一条,使其不重定向至准入设备;按该流程操作后发现页面仍会进行重定向,疑似未匹配第一条匹配项。配置信息如下:
问题处理
对测试源目地址进行抓包分析,发现对两个cb匹配项都进行了匹配,经研发说明:在两个cb对条件相近情况下,会对两个cb对都进行匹配,需要配置冲突香,使其单独匹配。
如:
traffic behavior b3049car cir 10000000
该配置与重定向互斥,此场景下将只匹配一条。
问题总结
当cb对条件不互斥的情况下,会对两个cb对都进行匹配,需制造互斥配置,使其逐个匹配。
关于acl匹配机制描述错误的是
ACL的匹配机制总是从第一条规则开始顺序匹配。 访问控制列表(ACL)是一种基于规则的网络安全技术,用于过滤网络流量并允许或拒绝特定的数据包通过。 ACL包含一系列的规则,这些规则按照特定的顺序进行排列,并且每个规则都定义了一组条件和相应的操作(允许或拒绝)。 当数据包到达网络设备时,ACL会按照规则的顺序逐个进行匹配,直到找到一个与数据包匹配的规则为止。 一旦找到匹配的规则,就会执行该规则定义的操作,并且不再继续匹配后续的规则。 ACL的匹配机制并不是总是从第一条规则开始顺序匹配的。 实际上,ACL的规则顺序非常重要,因为一旦找到匹配的规则,就会执行该规则的操作,而不再考虑后续的规则。 因此,如果将一个较为宽松的规则放在ACL的开头,而后续有更严格的规则,那么可能会导致一些不应该被允许的数据包通过。 例如,考虑一个ACL包含以下两条规则:1. 允许所有来自IP地址192.168.1.0/24的数据包通过。 2. 拒绝所有来自IP地址192.168.0.0/16的数据包通过。 如果一个恶意数据包来自IP地址192.168.1.100,由于第一条规则的存在,该数据包将被允许通过,即使它符合第二条规则的定义。 这是因为ACL在找到第一个匹配的规则后就会停止匹配,所以第一条规则会“覆盖”后面的规则。 因此,在配置ACL时,必须非常小心地考虑规则的顺序,以确保网络的安全性。 最好的做法是将最严格的规则放在ACL的开头,以确保它们能够优先匹配并阻止任何潜在的安全威胁。 同时,还应该定期审查和更新ACL规则,以适应网络环境和安全需求的变化。
关于cisco三层交换机ACL配置问题
0.0.0.0 255.255.0.0这不符合逻辑在ACL里,是反转掩码比如拒绝192.168.0.0/16的写法是这样的:deny ip any 192.168.0.0 0.0.255.255反推到你的语句里的IP地址就成这样了:0.0.0.0/0.0.255.255,这是个嘛啊??我没见过啊。 我也不理解。 你最好明确你的需求,举例说,在ACL-IN里拒绝三个子网进入路由器,分别是:192.168.1.0/25,172.16.0.0/16,10.0.0.0/8其他全允许,写法有两种:第一种,ACL命名ip access-listext INdeny ip 192.168.1.0 0.0.0.127 anydeny ip 172.16.0.0 0.0.255.255 anydeny ip 10.0.0.0 0.255.255.255 anypermit ip any any第二种:ACL编号,100-199是ext acl的编号access-list 123 deny ip 192.168.1.0 0.0.0.127 anyaccess-list 123 deny ip 172.16.0.0 0.0.255.255 anyaccess-list 123 deny ip 10.0.0.0 0.255.255.255 anyaccess-list 123 permit ip any anyCisco访问列表默认策略就是拒绝所有,所以就不用再写全拒绝的命令了。 访问列表写完了,绑定到端口生效。 ACL是锁头,路由器是大门。 你买了100把锁头,只有锁在大门上那把才是有用的。
关于ACL配置(华为)
ACL匹配:
缺省情况下,系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编号越小越容易被匹配。
报文与ACL规则匹配后,会产生两种匹配结果:“匹配”和“不匹配”。
匹配(命中规则):指存在ACL,且在ACL中查找到了符合匹配条件的规则。不论匹配的动作是“permit”还是“deny”,都称为“匹配”,而不是只是匹配上permit规则才算“匹配”。
匹配上permit:允许
匹配上deny:拒绝
无论报文匹配ACL的结果是“不匹配”、“允许”还是“拒绝”,该报文最终是被允许通过还是拒绝通过,实际是由应用ACL的各个业务模块来决定的。不同的业务模块,对命中和未命中规则报文的处理方式也各不相同。
不匹配(未命中规则):指不存在ACL,或ACL中无规则,再或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则。切记以上三种情况,都叫做“不匹配”。
扩展资料:
ACL基本原理:
ACL,是Access CoNTRol List的简称,中文名称叫“访问控制列表”。
ACL由一系列规则(即描述报文匹配条件的判断语句)组成。这些条件,可以是报文的源地址、目的地址、端口号等。
打个比方,ACL其实是一种报文过滤器,ACL规则就是过滤器的滤芯。安装什么样的滤芯(即根据报文特征配置相应的ACL规则),ACL就能过滤出什么样的报文。
基于过滤出的报文,我们能够做到阻塞攻击报文、为不同类报文流提供差分服务、对telnet登录/FTP文件下载进行控制等等,从而提高网络环境的安全性和网络传输的可靠性。
日语专业难就业 梦见和情人聊天啥意思 哪个专业写论文 第一次医学革命 接受gmat成绩的专业 空调哪个模式是换气 金银忍冬叶的功效与作用 专业硕士考英语二本文地址: https://www.q16k.com/article/bb8c672d4bbcd0661141.html
解梦吧(JieMeng8.com)转释了原版周公解梦,并征集了广大网友意见的基础上推出了现代版周公解梦大全,并为广大网友提供在线的周公解梦查询。这里保存了众多网友的梦境,可以当之无愧为国内资料最全的在线周公解梦网,您也可以在这里保存你的梦境,并让大家来帮你解梦.注:周公解梦仅供娱乐,并无科学依据
压缩图是一款在线无损图片压缩工具,支持批量图片压缩jpg、jpeg、png、gif、tiff、webp、jp2等格式,并提供图片压缩指定大小、批量修改图片dpi(分辨率)、pdf压缩、修改图片大小尺寸、AI抠图、图片格式转换、证件照制作等多种在线图片处理功能,同时新增了PDF转换成word、ppt、excel功能,一键操作批量处理,欢迎体验!
兔兔窝作为专业宠物兔网站,免费提供宠物兔品种及图片、宠物兔子价格等,每天分享养兔知识大全及兔子饲料推荐,想了解宠物兔子怎么养或养兔兔知识,请关注兔兔窝!
该站点未添加描述description...
牧童资讯
米热电影网-在线电视剧-好看电影网站
微开讲专业的微课直播工具,1分钟快速搭建在线教学课堂,支持直播/录播/插播/电子白板等工具,为在线教育、知识付费、企业内训、政务直播等多种场景提供专业的直播解决方案;同时利用多种营销功能帮助客户打造知识变现、内容沉淀、社群管理的生态闭环。
AI字幕翻译/格式转化小工具,translatesubtilte,caption,closecaption,usingchatGPTAI
56之窗网提供专业资讯,商务新闻,商业新闻,新闻资讯,人物访谈,行业新闻,行业资讯,最新资讯,今日资讯等信息平台,了解更多商业资讯点击进入56之窗网。
品牌世家最新关注品牌
专业经营木地板,面向全国等地提供木地板等产品和服务,已有4家开发商将纳入品牌供应商库
小说阅读,雁北堂有故事。雁北堂中文网提供好看的悬疑小说,恐怖惊悚小说,玄幻小说,奇幻小说,仙侠小说,科幻小说,言情小说等原创文学作品在线阅读-www.ebtang.com
秦皇岛文学网是广大书友最值得收藏的网络小说阅读网,秦皇岛文学网收录了当前最火热的网络小说,秦皇岛文学网免费提供高质量的小说最新章节,秦皇岛文学网是广大网络小说爱好者必备的小说阅读网。
该站点未添加描述description...
投维网旨在将互联网企业不诚信行为的典型案例进行深入剖析和宣传报道,鞭挞违法失信,威慑潜在背信,通过平台端报道,最大限度地扩大信用的社会影响力,从而为互联网行业诚信建设提供鲜活而透明的载体。
工业设计英才网,工业设计人才网,工业设计英才网,工业设计求职,工业设计招聘,工业设计
4399手机游戏网致力于成为可信赖的手机游戏平台,提供海量精品游戏免费下载,前沿手游资讯报道,实用视频攻略秘籍.
HEROGAMES,foundedonjune16,2015,isagamedeveloperandpublisherwiththehighestglobalrevenueinChina.
死神嘉年华2攻略12304主动来电原因服务范围包括:紧急电话:12304号码所提供的服务范围涵盖了新闻资讯、生活服务、优惠活动以及个性化定制等方面。它是一个正规的服务电话号码,请不要将12304号码与骚扰电话混淆。12304是什么电话号码12304是人民日报社在全国推出的移动阅报服务电话号码,它是电信运营商网络平台提供给人民日报的一个特殊服务号码。这...
尸体派对 攻略国产大型客机C919开启全球首次商业载客飞行了!据新华社,刚刚,国产大飞机C919执飞的首个商业航班MU9191从上海虹桥国际机场顺利起飞,到达地为北京首都国际机场。这是一次载入史册的飞行!看到飞行的国产大飞机,就问你心情激动澎湃不?加油,祖国。本文目录1、国产大飞机C919商业首航成功,首排乘客是这四位2、欧美不给适航证会扼杀中国吗...
当代生存节拍速,工作压力大,几何人在放工回家以后都邑精疲力竭,固然还没吃晚饭然而也懒得下厨了。当日小编便要向那些懒得干晚饭的朋友们推举一路炒饭,它烹调简洁,10分钟便没有妨上桌,为全体节约了许多光阴,也许往忙其余本人想干的事。庞大的是这讲炒饭香糯适口,新鲜滑爽,甘旨绝顶,它的重要资料囊括瘦肉和香菇,香菇是高蛋白,低脂肪,多糖食品,富含...
一年前,亲戚们送了一盒螃蟹。他们讨厌没有肉,并抱怨他们太挑剔了。他们转移朋友后,几乎就要分手了。他们在家呆了不到半个月。他们每天都吃自己的贮藏品,从不出门。今天不是时候。他们打开了一盒一年前亲戚送来的螃蟹。螃蟹看起来真的很大,而且感觉很美味。它们和我通常吃的螃蟹不一样大。盒子里还有很多螃蟹。看着这么大的螃蟹,我觉得里面的肉很特别,所以...
生活好了,我们更注重生活的品质,从哪里体现呢,可以从饮食上来看,发现现在身边的人,越来越在乎菜肴的质量,就算是一盘简单的炒青菜,也要做到几乎完美,色香味俱全,因为这样生活也就慢慢的得到提升,那么做菜需要技巧,有了这些技巧,可以让我们的每盘菜肴精致又美味。炒蒜苔是生活中常吃的一道菜,可有的时候做的好吃,有的时候做的难吃,这也就说明了一个...
鸡蛋放入锅内加清水大火煮5分钟后控水捞出备用,再往锅内加入八角、桂皮、香叶、红茶、花椒粉、生抽和盐大火煮2分钟左右。最后将鸡蛋壳略微敲碎放入锅内浸泡1小时,美味的茶叶蛋就完成了。茶叶蛋的制作方法准备食材:鸡蛋、食盐、八角、桂皮、花椒粉、香叶、生抽。1、鸡蛋放入锅内加清水大火煮5分钟,再控水捞出备用。2、往锅内加入八角、桂皮、香叶、红茶...
说到乡村各处皆是宝物,乡村人皆把它当作喂猪的食粮,到处皆是,乡村人没有在意他,叶子既也许旁边蔬菜来食用,还也许用来入药,它即是虾蟆草,虾蟆草也许当作中药材来食用,虾蟆草泡水喝具备较好的药用价格,具备消炎止痛,止咳润肺,扶助摈弃体内的无益毒素,坚固体魄的禁止本领,你们有无喝过虾蟆草泡水呢?接停来看一看此草的关系学识吧。冬季咳嗽痰多,莫慌...
酸木瓜是一种水果,也是一种中药材,而三七则是一种常见中药,他们平时可以用来泡酒喝,这是很多人都知道的事情,但人们在用它们泡酒时以单独泡酒为主,对他们搭配在一起泡酒的功效了解并不多,接下来我会做这方面的介绍,能让大家知道酸木瓜三七一起泡酒有哪些具体功效。酸木瓜三七泡酒的功效1、活血化瘀酸木瓜三七泡酒能起到活血化瘀的重要作用,因为酸木瓜和...
NordVPN是最知名的VPN之一,拥有庞大的用户基础。值得信赖的高级服务以其出色的速度、慷慨而广泛的服务器分布以及一系列令人印象深刻的安全功能而闻名。为了不仅仅是一个VPN,这项服务已经扩展到一个更大的伞形组织,称为NordSecurity,提供其他服务,如NordPass密码管理器,用于安全文件存储的NordLocker,以及No...
苹果设备内置的Notes应用程序长期以来一直为人们提供一种快捷方便的方式来保存列表、想法和其他随机项目。虽然苹果最初避开了顶级笔记应用程序中的花哨花哨,但它每年都会慢慢增强笔记。2021年,iOS15和iPadOS15增加了标签和智能文件夹。2022年,苹果在iOS16和iPadOS16中引入了更多增强功能,例如在iPhone上添加快...
人工智能迅速成为科技界最广泛的流行语之一。人工智能包罗万象,从令人毛骨悚然的计算机生成的图片到旨在改善语法的软件。事实证明,机器大脑可以帮助人类大脑完成许多技术任务–包括建立网站。对于希望传播有关产品或服务的信息的企业和个人来说,创建网站是必不可少的。然而,从零开始制作一个可能相当令人望而生畏。幸运的是,许多现代网站建设者包括人工智能...
想要与他人分享你的个人信息,同时炫耀自己的酷照片吗?虽然iPhone用户一直能够设置一张照片,在通话和短信对话中出现在一个小圆圈中,但苹果现在增加了联系海报,让用户更好地表达自己。一旦你将个性化的联系人海报添加到你的联系人卡片上,它就会显示为一个更大的图像,在打电话时覆盖整个屏幕。当你通过新的namedrop功能与其他人分享你的联系人...
无论你是在你最喜欢的网店购物,还是在塔吉特或麦当劳这样的实体商家购物,用手机支付往往比四处寻找信用卡或合适的现金更容易、更快。这就是为什么移动支付应用越来越受到消费者的欢迎。ApplePay是iPhone、iPad、AppleWatch和Mac用户的默认支付方式。通过该应用程序连接信用卡或借记卡,你的iPhone或AppleWatch...
相信很多站长都会使用site来了解查看网站收录的情况,但除了site搜索指令外,其实还有其他一些指令,但相信只有极少数SEOer知道。其实用好SEO指令,对了解网站的SEO情况也是有一定帮助的。下面小编就来给大家具体介绍一下SEO高级搜索指令。什么是SEO高级搜索指令顾名思义,SEO高级搜索指令就是为了达到用户的直接目的,排除用户不需...
有很多的生物,自身不只仅是在体态上十分的共同,而且在自身的特点上也很共同,尤其是倒立水母,像是普通的水母,普通都是触须在上方,然而倒立水母触须却在上方,就如同是一种圆盘一样,倒立在陆地中,和其余水母还是有区别的。一、倒立水母的外形特色倒立水母,还是十分奇特的,其中的圆盘在上方,触须则是在上方,整个如同是圆盘一样,间接在水外面倒立,而且...
在恐龙这类物种中,大局部恐龙都是属于肉食性的恐龙,所以在经过对恐龙的钻研中,对恐龙的食性也须要有必定的关注,钦迪龙,也是属于一种生活在三叠纪时间的恐龙,是属于一种小型的肉食恐龙,关键还是散布美国墨西哥州。一、钦迪龙的关键特色钦迪龙,身材的长度到达了两米,体严重约在三十公斤,在美国的晚三叠纪地层,更是发现了蕴含钦迪龙在内的很多恐龙化石,...
淮南八公山白塔寺内,监控摄像头深夜拍到不明航行物(UFO)(奥秘的地球配图)李军用蜘蛛做试验据中安在线:淮南UFO或是蜘蛛“恶作剧”中科院专家视频中发现蛛丝淮南八公山白塔寺内,监控摄像头深夜拍到不明航行物(UFO)。为解开谜团,记者咨询到中国迷信院等离子体物理钻研所专家,从影像学、静止学角度对监控视频启动了剖析。专家以为,UFO是蜘蛛...
蝴蝶作为一种昆虫,有许多天敌对其构成威胁。这些天敌的大小不一,有大到食虫鸟、蜥蜴等,比如山雀、杜鹃,小至蚂蚁、甲虫、蜘蛛。尤其是当蝴蝶停留在花朵或者树木上的时候,更容易被天敌突然袭击。蝴蝶最害怕的天敌之一是寄生蜂。寄生蜂会将卵产在蝴蝶体内,这些卵孵化后的幼虫将会把蝴蝶吃得干干净净。因此,蝴蝶对寄生蜂的靠近非常恐惧。蝴蝶的天敌还包括食虫...
美少女养成计划攻略鬼吹灯相信大家看过吧,鬼吹灯是中国作家天下霸唱所创作的一系列冒险小说,也是一部集探险、悬疑、恐怖等元素于一身的作品。潘粤明的鬼吹灯已有5部拍成了电视剧,其中三部已经播出,今天我们就来看看潘粤明鬼吹灯5部顺序吧。潘粤明鬼吹灯5部顺序潘粤明鬼吹灯五部顺序是《龙岭迷窟》、《云南虫谷》、《昆仑神宫》、《南海归墟》、《巫峡棺山》,如今前三部已经...
prey攻略在现如今,网络时代的世界,几乎每个人都与网络息息相关,那么你一定想有一个独特异于常人的网名吧,今天我们就一起来了解一下2023适合一辈子网名吧。2023适合一辈子网名(一)很痛很痛(二)江南雪(三)爱国者(四)心弦之乐(五)与你初见(六)倏尔一生(七)毒霸先锋(八)青青子衿(九)音乐的旅行(十)不怕好吗(十一)捂风挽笑(十二)奢欲、梦...
魔塔1 1攻略新加坡位于马来半岛南端、马六甲海峡出入口,由新加坡岛及附近63个小岛组成。鱼尾狮公园是新加坡的地标与象征,紧邻绝美的滨海湾,每年有数百万游客来此拍照留念。除了这个,新加坡还有其他几处名胜古迹,下面,就快和360常识网一起了解相关知识吧!本文目录1、中国人去新加坡可以落地签吗?2、新加坡的名胜有什么3、新加坡免签条件中国人去新加坡可以落...
每天早上起来的时候,都要酝酿一会,进入了寒冬时期,冷空气让人瑟瑟发抖,人们在冬天也需要更多的热量,来抵御寒冷,所以,饮食上就会增加不少,其实呢,我们不妨多喝点汤水,或者粥之类的,这样能够驱寒暖胃,这次呢,小馋猫推荐一道美食,它就是南瓜小米红枣粥。说起这道粥,早上喝一碗,全身都暖和,南瓜小米红枣粥,营养十分的全面,又对肠道比较好,帮助健...
哈密瓜干为华夏人最爱吃的生果之一,往往求过于供,咱们皆大白,新疆哈密瓜一向是遐迩有名,出自新疆的哈密瓜也皆是全体争相恐后购置的目标,可是你大白哈密瓜的工效吗?哈密瓜没有只没有妨协助女人美容养颜,还也许搀扶用眼过度的人减缓眼疲劳,和提防眼睛周遭黄斑的发作,是没有是长处多多?豆乳稀饭喝腻了,试试这款饮品,香浓味美,早饭必备佳品。西米露咱们...