API Guide
Identifier GUID-C220A14F-C6CB-4950-BA88-15CBD59316AA
Version 14
Status Translation approved
访问控制列表
OS10 使用两种类型的访问策略:基于硬件的 ACL 和基于软件的路由映射。使用 ACL 筛选流量并丢弃或转发匹配的数据包。要重新
分发与配置的条件匹配的路由,请使用路由映射。
ACL
ACL 是包含匹配条件的筛选器;例如,检查互联网协议 (IP)、传输控制协议 (TCP) 或用户数据报协议 (UDP) 数据包,以及在 NPU 上
转发或丢弃数据包等操作。ACL 允许或拒绝基于 MAC 和/或 IP 地址的流量。ACL 条目的数量与硬件相关。
ACL 只有两个操作 — 转发或丢弃。路由 — 映射不仅允许或阻止重新分发的路由,还可以在将路由重新分配到另一个协议时修改与
其关联的信息。当数据包与筛选器匹配时,设备将根据筛选器的指定操作丢弃或转发数据包。如果数据包与 ACL 中的任何筛选器均
不匹配,则数据包将丢弃隐式拒绝。在将 ACL 应用到接口之前,ACL 规则不会消耗硬件资源。
ACL 进程按顺序进行。如果数据包与第一个筛选器中的条件不匹配,则应用第二个筛选器。如果您配置了多个基于硬件的 ACL,筛
选规则将根据优先级数字处理单元 (NPU) 规则应用于数据包内容。
路由映射
路由映射是基于软件的协议筛选重新分发路由(从一个协议到另一个协议),并在路由通告的决策条件中使用。路由映射定义了从
指定路由协议重新分配到目标路由进程的路由,请参阅路由映射。
具有多个匹配条件的路由映射、同一路由映射序列中的两个或更多匹配项,具有不同的匹配命令。将数据包与此条件匹配是 AND 操
作。如果在路由映射序列中找不到匹配项,该进程将移至下一个路由映射序列,直至找到匹配项,或直至不再有序列。找到匹配项
后,数据包将转发,无需其他路由映射序列。如果在路由映射序列中包含 continue 子句,则在找到匹配项后,下一个路由映射序列
也将进行处理。
Identifier
GUID-C3C9FA5A-2CDB-4780-9991-76B512F18792
Version 5
Status Translation approved
IP ACL
ACL 根据以下条件筛选数据包:
• IP 协议号
• 源和目标 IP 地址
• 源和目标 TCP 端口号
• 源和目标 UDP 端口号
对于 ACL、TCP 和 UDP 筛选器,匹配特定 TCP 或 UDP 端口上的条件。对于 ACL TCP 筛选器,您还可以匹配已建立 TCP 会话上的
条件。
创建 ACL 时,筛选器顺序非常重要。您可以在输入时为筛选器分配序列号,或者 OS10 可以按创建筛选器的顺序分配编号。序列号
显示在 show running-configuration 和 show ip access-lists [in | out] 命令输出中。
入口和出口热锁 ACL 允许您在不中断流量流的情况下将新规则附加到现有的 ACL 或删除。内容可寻址内存 (CAM) 中的现有条目无
序显示新条目。默认情况下,热锁 ACL 处于启用状态,并且支持所有平台上的 ACL。
注: 热锁 ACL 仅支持入口 ACL。
Identifier GUID-083BDA14-AC12-4D3A-802D-BEA4EEE34E5D
Version 6
Status Translation approved
MAC ACL
MAC ACL 会筛选数据包标头上的流量。此流量筛选基于:
20
访问控制列表
1057