摘要：配置完ACL后，必须在具体的业务模块中应用ACL，才能使ACL正常下发和生效。

配置完ACL后，必须在具体的业务模块中应用ACL，才能使ACL正常下发和生效。

最基本的ACL应用方式，是在简化流策略或流策略中应用ACL，使设备能够基于全局、VLAN或接口下发ACL，实现对转发报文的过滤。此外，ACL还可以应用在Telnet、FTP、路由等模块。

如表1所示，ACL应用的业务模块，主要分为以下几类。

表1 ACL应用的业务模块

对转发的报文进行过滤

基于全局、接口和VLAN，对转发的报文进行过滤，从而使设备能够进一步对过滤出的报文进行丢弃、修改优先级、重定向等处理。

例如，可以利用ACL，降低P2P下载、网络视频等消耗大量带宽的数据流的服务等级，在网络拥塞时优先丢弃这类流量，减少它们对其他重要流量的影响。

简化流策略/流策略

对上送CPU处理的报文进行过滤

对上送CPU的报文进行必要的限制，可以避免CPU处理过多的协议报文造成占用率过高、性能下降。

例如，当发现某用户向设备发送大量的ARP攻击报文，造成设备CPU繁忙，引发系统中断时，可以在本机防攻击策略的黑名单中应用ACL，将该用户加入黑名单，使CPU丢弃该用户发送的报文。

黑名单

登录控制

对设备的登录权限进行控制，允许合法用户登录，拒绝非法用户登录，从而有效防止未经授权用户的非法接入，保证网络安全性。

例如，一般情况下设备只允许管理员登录，非管理员用户不允许随意登录。这时就可以在Telnet中应用ACL，并在ACL中定义哪些主机可以登录，哪些主机不能。

Telnet、STelnet、FTP、SFTP、HTTP、SNMP

路由过滤

ACL可以应用在各种动态路由协议中，对路由协议发布、接收的路由信息以及组播组进行过滤。

例如，可以将ACL和路由策略配合使用，禁止设备将某网段路由发给邻居路由器。

在各类业务模块中应用ACL时，ACL的默认动作各有不同，所以各业务模块对命中/未命中ACL规则报文的处理机制也各不相同。

例如，流策略中的ACL默认动作是permit，在流策略中应用ACL时，如果ACL中存在规则但报文未匹配上，该报文仍可以正常通过。而Telnet中的ACL默认动作是deny，在Telnet中应用ACL时，如果遇到此种情况，该报文会被拒绝通过。

此外，黑名单模块中的ACL处理机制与其他模块有所不同。在黑名单中应用ACL时，无论ACL规则配置成permit还是deny，只要报文命中了规则，该报文都会被系统丢弃。

各类业务模块中的ACL默认动作及ACL处理机制，如表2、表3、表4所示。

表2 各业务模块的ACL默认动作及ACL处理机制

表3 各业务模块的ACL默认动作及ACL处理机制

命中deny规则

deny（拒绝登录）

deny（拒绝登录）

deny(丢弃报文)

说明：

报文命中deny规则时，只有在流行为是流量统计、MAC地址不学习或流镜像的情况下，设备才会执行流行为动作，否则流行为动作不生效。

deny(丢弃报文)

ACL中配置了规则，但未命中任何规则

deny（拒绝登录）

deny（拒绝登录）

permit（功能不生效，按照原转发方式进行转发）

permit（功能不生效，正常上送报文）

ACL中未配置规则

permit（允许登录）

permit（允许登录）

permit（功能不生效，正常上送报文）

ACL未创建

permit（允许登录）

permit（允许登录）

permit（功能不生效，正常上送报文）

表4 各业务模块的ACL默认动作及ACL处理机制

命中permit规则

permit（允许发布或接收该路由）

permit(允许加入SSM组播组范围)

permit(允许加入组播组)

命中deny规则

deny（功能不生效，不允许执行路由策略）

deny（不允许发布或接收该路由）

deny(禁止加入SSM组地址范围)

deny(禁止加入组播组)

ACL中配置了规则，但未命中任何规则

deny（不允许发布或接收该路由）

deny(禁止加入SSM组地址范围)

deny（禁止加入组播组）

ACL中未配置规则

permit（对经过的所有路由生效）

deny（不允许发布或接收路由）

deny（禁止加入SSM组地址范围，所有组都不在SSM组地址范围内）

deny（禁止加入组播组）

ACL未创建

permit（允许发布或接收路由）

deny(禁止加入SSM组地址范围，只有临时组地址范围232.0.0.0～232.255.255.255在SSM组地址范围内)

deny（禁

来源 华为技术手册

来源：小园说科技