溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
防火墻數據包處理流程圖
ACL與NAT的順序不是固定的,各廠商數據流先ACL或先NAT不一。
引用《淺析ACL與NAT的執行順序》—張少芳 一文中的結論如下:
H3C
出站:先匹配出站ACL,然后進行地址轉換
入站:先進行地址轉換,然后匹配入站ACL
CISCO
出站:先進行地址轉換,然后匹配出站ACL
入站:先匹配入站ACL,然后進行地址轉換(即上圖所示數據流順序)
結論
H3C設備和CISCO設備在對ACL與NAT的執行順序處理上完全相反。由于在實際的網絡中可能存在來自不同廠商的設備,因此在進行具體的ACL策略應用前一定要了解具體設備對ACL與NAT的執行順序,以確保ACL的有效性。
特別注意
在實際設備使用時發現,CISCO ASA5545 Version 8.6(1)2,入站ACL配置時使用的是轉換后地址,也就是說先進行了地址轉換,然后再匹配ACL,經上網查詢發現,ASA 在8.4版本后,調整了NAT與ACL的順序。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
