访问控制列表-细说ACL那些事儿

1、1 访问控制列表-细说ACL那些事儿（初步认识ACL）传闻江湖乱世之时，出现了一门奇招妙计名曰“ACL”。其变化多端、高深莫测，部署在江湖各处的交换机轻松使上这一招，便能平定乱世江湖。所以，这ACL也被江湖人士一时传为佳话。ACL到底是何方秘籍？它拥有什么样的魔力能够平定江湖？今日，且让小编来为大家答疑解惑！ACL，是Access Control List的简称，中文名称叫“访问控制列表”，它由一系列规则（即描述报文匹配条件的判断语句）组成。这些条件，可以是报文的源地址、目的地址、端口号等。这样解释ACL，大家是不是觉得太抽象了！好，现在小编换一种解释方式。打个比方，ACL其实是一种报文过滤器

2、，ACL规则就是过滤器的滤芯。安装什么样的滤芯（即根据报文特征配置相应的ACL规则），ACL就能过滤出什么样的报文了。基于过滤出的报文，我们能够做到阻塞攻击报文、为不同类报文流提供差分服务、对Telnet登录/FTP文件下载进行控制等等，从而提高网络环境的安全性和网络传输的可靠性。说到这，大家一定迫不及待的想看看ACL长啥模样。话不多说，先上图！围绕这张ACL结构图，小编为大家一一介绍ACL的基本概念。1.1 ACL分类首先，图中是一个数字型ACL，ACL编号为2000。这类似于人类的身份证号，用于唯一标识自己的身份。当然，人类的身份证上不仅有身份证编号，还有每个人自己的名字。ACL也同样如此

3、，除了数字型ACL，还有一种叫做命名型的ACL，它就能拥有自己的ACL名称。通过名称代替编号来定义ACL，就像用域名代替IP地址一样，可以方便记忆，也让大家更容易识别此ACL的使用目的。另外，小编告诉大家，命名型ACL实际上是“名字+数字”的形式，可以在定义命名型ACL时同时指定ACL编号。如果不指定编号，则由系统自动分配。上图就是一个既有名字“deny-telnet-login”又有编号 “3998”的ACL。细心的你，一定会注意到，ACL结构图中的ACL编号是“2000”，而这个例子中的ACL编号是“3998”，两者有什么区别吗？实际上，按照ACL规则功能的不同，ACL被划分为基本ACL、

4、高级ACL、二层ACL、用户自定义ACL和用户ACL这五种类型。每种类型ACL对应的编号范围是不同的。ACL 2000属于基本ACL，ACL 3998属于高级ACL。高级ACL可以定义比基本ACL更准确、更丰富、更灵活的规则，所以高级ACL的功能更加强大。ACL类别规则定义描述编号范围基本ACL仅使用报文的源IP地址、分片标记和时间段信息来定义规则。20002999高级ACL既可使用报文的源IP地址，也可使用目的地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。30003999二层ACL可根据报文的以太网帧头信息来定义

5、规则，如根据源MAC地址、目的MAC地址、以太帧协议类型等。40004999用户自定义ACL可根据报文偏移位置和偏移量来定义规则。50005999用户ACL既可使用IPv4报文的源IP地址或源UCL（User Control List）组，也可使用目的地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。600099991.2 ACL规则接下来，我们来看看图中ACL的 “deny | permit”语句。这些条件语句，我们称作ACL规则（rule）。其中的“deny | permit”，称作ACL动作，表示拒绝/允许。每条规则都拥有自己的

6、规则编号，如5、10、。这些编号，可以自行配置，也可以由系统自动分配。那么系统是怎样自动分配规则编号的？小编先卖个关子，请继续关注下文。ACL规则的编号范围是0，所有规则均按照规则编号从小到大进行排序。所以，上图中我们可以看到rule 5排在首位，而规则编号最大的rule 排在末位。系统按照规则编号从小到大的顺序，将规则依次与报文匹配，一旦匹配上一条规则即停止匹配。关于ACL的匹配机制，在后续连载系列中，小编还将为大家作更深入的介绍。除了包含ACL动作和规则编号，我们可以看到ACL规则中还定义了源地址、生效时间段这样的字段。这些字段，称作匹配选项，它是ACL规则的重要组成部分。其实，ACL提供

7、了极其丰富的匹配选项。你可以选择二层以太网帧头信息（如源MAC、目的MAC、以太帧协议类型）作为匹配选项，也可以选择三层报文信息（如源地址、目的地址、协议类型）作为匹配选项，还可以选择四层报文信息（如TCP/UDP端口号）等等等等。你只需分析清楚需要过滤的报文的特征，便可以指定使用哪一种ACL匹配选项，从而让ACL能正确的识别需过滤的报文。关于ACL匹配选项的配置方法，在后续连载系列中，小编还将为大家详细的介绍。1.3 步长最后，小编来为大家介绍ACL中一个非常重要的概念步长。了解了这个知识点，上文中遗留的问题“系统怎样自动分配规则编号”便迎刃而解了。步长，是指系统自动为ACL规则分配编号时，

8、每个相邻规则编号之间的差值。也就是说，系统是根据步长值自动为ACL规则分配编号的。图中的ACL 2000，步长就是5。系统按照5、10、15这样的规律为ACL规则分配编号。如果将步长调整为了2，那么规则编号会自动从步长值开始重新排列，变成2、4、6。有图为证 小编支招：ACL的缺省步长值是5。通过display acl acl-number命令，可以查看ACL规则、步长等配置信息。通过step step命令，可以修改ACL步长值。说到这，小伙伴们是不是好奇了，设置ACL步长有什么作用呢？ 实际上，设置步长的目的，是为了方便大家在ACL规则之间插入新的规则。先来看个例子。假设，一条ACL中，已包

9、含了下面三条规则5、10、15。如果你希望源IP地址为的报文也被禁止通过，该如何处理呢？rule 5 deny source 0 /表示禁止源IP地址为的报文通过 rule 10 deny source 0 /表示禁止源IP地址为的报文通过 rule 15 permit source 55 /表示允许源IP地址为网段的报文通过我们来分析一下。由于ACL匹配报文时遵循“一旦命中即停止匹配”的原则，所以源IP地址为和的报文，会在匹配上编号较小的rule

10、5和rule 10后停止匹配，从而被系统禁止通过；而源IP地址为的报文，则只会命中rule 15，从而得到系统允许通过。要想让源IP地址为的报文也被禁止通过，我们必须为该报文配置一条新的deny规则。rule 5 deny source 0 /表示禁止源IP地址为的报文通过 rule 10 deny source 0 /表示禁止源IP地址为的报文通过 rule 11 deny source 0 /表示禁止源IP地址为的报文通过 rule 15 permit source 1.1

11、.1.0 55 /表示允许源IP地址为网段的报文通过在rule 10和rule 15之间插入rule 11后，源IP地址为的报文，就可以先命中rule 11而停止继续往下匹配，所以该报文将会被系统禁止通过。试想一下，如果这条ACL规则之间间隔不是5，而是1（rule 1、rule 2、rule 3），这时再想插入新的规则，该怎么办呢？只能先删除已有的规则，然后再配置新规则，最后将之前删除的规则重新配置回来。如果这样做，那付出的代价可真是太大了！ 所以，通过设置ACL步长，为规则之间留下一定的空间，后续再想插入新的规则，就非常轻松了。好啦，以上就是小编为

12、大家介绍的ACL基础理论知识。回顾一下全文，知识点主要包括：ACL是什么、有什么作用、分哪几类、规则是如何定义的、步长的含义以及步长的作用。小伙伴们，你们都已经掌握了吗？在下一篇连载系列中，小编还将为大家讲解更深层次的ACL知识ACL的匹配机制、规则的匹配顺序、规则的匹配选项等等。总之，精彩还在后头，我们后会有期！2 访问控制列表-细说ACL那些事儿（ACL匹配篇）Hi，小伙伴们，小编又来报道啦！在上一期中，小编围绕一张ACL结构图展开介绍，让大家了解了ACL的概念、作用和分类，并且知道了ACL是通过规则匹配来实现报文过滤的。但ACL到底是如何进行规则匹配的，相信aa大家还是一头雾水。本期，小

13、编就将带领大家深入ACL内部，说一说关于“ACL匹配”的那些事儿。2.1 ACL匹配机制首先，小编为大家介绍ACL匹配机制。上一期提到，ACL在匹配报文时遵循“一旦命中即停止匹配”的原则。其实，这句话就是对ACL匹配机制的一个高度的概括。当然，ACL匹配过程中，还存在很多细节。比如，ACL不存在系统会怎么处理？ACL存在但规则不存在系统会怎么处理？为了对整个ACL匹配过程展开详细的介绍，小编画了一张ACL匹配流程图，相信对大家理解ACL匹配机制能有所帮助。从整个ACL匹配流程可以看出，报文与ACL规则匹配后，会产生两种匹配结果：“匹配”和“不匹配”。l 匹配（命中规则）：指存在ACL，且在AC

14、L中查找到了符合匹配条件的规则。不论匹配的动作是“permit”还是“deny”，都称为“匹配”，而不是只是匹配上permit规则才算“匹配”。l 不匹配（未命中规则）：指不存在ACL，或ACL中无规则，再或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则。切记以上三种情况，都叫做“不匹配”。小编提醒大家，无论报文匹配ACL的结果是“不匹配”、“允许”还是“拒绝”，该报文最终是被允许通过还是拒绝通过，实际是由应用ACL的各个业务模块来决定的。不同的业务模块，对命中和未命中规则报文的处理方式也各不相同。例如，在Telnet模块中应用ACL，只要报文命中了permit规则，就允许通过；而在流

15、策略中应用ACL，如果报文命中了permit规则，但流行为动作配置的是deny，该报文会被拒绝通过。在后续连载的访问控制列表-细说ACL那些事儿（应用篇）中，小编将结合各类ACL应用，为大家细说各个业务模块的区别。2.2 ACL规则匹配顺序从上面的ACL匹配报文流程图中，可以看到，只要报文未命中规则且仍剩余规则，系统会一直从剩余规则中选择下一条与报文进行匹配。系统是根据什么样的顺序来选择规则进行报文匹配的呢？回答这个问题之前，先来看个例子。假设我们先后执行了以下两条命令进行配置：rule deny ip destination 55 /表示拒绝目的IP地址为1

16、.1.0.0网段的报文通过rule permit ip destination 55 /表示允许目的IP地址为网段的报文通过，该网段地址范围小于网段范围这条permit规则与deny规则是相互矛盾的。对于目的IP=的报文，如果系统先将deny规则与其匹配，则该报文会被禁止通过。相反，如果系统先将permit规则与其匹配，则该报文会得到允许通过。因此，对于规则之间存在重复或矛盾的情形，报文的匹配结果与ACL规则匹配顺序是息息相关的。下面，小编就为大家介绍ACL定义的两种规则匹配顺序：配置顺序（config）和自动排序（aut

17、o）。配置顺序，即系统按照ACL规则编号从小到大的顺序进行报文匹配，规则编号越小越容易被匹配。后插入的规则，如果你指定的规则编号更小，那么这条规则可能会被先匹配上。小编提醒，ACL规则的生效前提，是要在业务模块中应用ACL。当ACL被业务模块引用时，你可以随时修改ACL规则，但规则修改后是否立即生效与具体的业务模块相关。关于ACL的应用，在后续连载的应用篇中，小编还将为大家详细介绍。自动排序，是指系统使用“深度优先”的原则，将规则按照精确度从高到底进行排序，系统按照精确度从高到低的顺序进行报文匹配。规则中定义的匹配项限制越严格，规则的精确度就越高，即优先级越高，那么该规则的编号就越小，系统越先

18、匹配。例如，有一条规则的目的IP地址匹配项是一台主机地址/32，而另一条规则的目的IP地址匹配项是一个网段/24，前一条规则指定的地址范围更小，所以其精确度更高，系统会优先将报文与前一条规则进行匹配。小编提醒，在自动排序的ACL中配置规则，不允许自行指定规则编号。系统能自动识别出该规则在这条ACL中对应的优先级，并为其分配一个适当的规则编号。例如，在auto模式的acl 3001中，存在以下两条规则。如果在acl 3001中插入rule deny ip destination 0（目的IP地址是主机地址，优先级高于上图中的两条规则），系统将按照规则的

19、优先级关系，重新为各规则分配编号。插入新规则后，新的排序如下。可以看到，rule deny ip destination 0的优先级最高，排列最靠前。2.3 ACL规则匹配项最后，我们来说说ACL规则最核心的部分规则匹配项。在上一期中，小编在介绍ACL分类时，就已经提到各类ACL的规则定义描述。比如，基本ACL可以使用报文的源IP地址作为匹配选项；高级ACL则更高一筹，不仅可以使用源IP地址，还能使用目的IP地址、协议类型、端口号等等。今天小编为大家讲解几个最常用的匹配选项协议类型、目的地址和生效时间段。PS:源地址的使用方法与目的地址同理，小编不再赘述。l 协议类型 格式为：

20、protocol-number | icmp | tcp | udp | gre | igmp | ip | ipinip | ospf高级ACL支持过滤的报文类型很多，常用的协议类型包括： ICMP（协议号1）、TCP（协议号6）、UDP（协议号17）、GRE（协议号47）、IGMP（协议号2）、IP（指任何IP层协议）、IPinIP（协议号4）、OSPF（协议号89）。protocol-number取值可以是1255。什么情况下可以使用协议类型作为匹配项？例如，交换机某个接口下的用户存在大量的攻击者，你希望能够禁止这个接口下的所有用户接入网络。这时，通过指定协议类型为IP来屏蔽这些用户的I

21、P流量，就可以达到目的。配置如下：rule deny ip /表示拒绝IP报文通过再如，交换机上打开透明防火墙功能后，在缺省情况下，透明防火墙会在域间丢弃所有入域间的报文，包括业务报文和协议报文。如果你希望像OSPF这样的动态路由协议报文能正常通过防火墙，保证路由互通，这时，通过指定协议类型为OSPF即可解决问题。配置如下：rule permit ospf /表示允许OSPF报文通过l 目的地址格式为：destination destination-address destination-wildcard | any destination-address：指定报文的目的地址。 destina

22、tion-wildcard：指定通配符掩码。可以为0，相当于，表示目的地址为主机地址。 any：表示对任意目的地址都匹配。什么情况下可以使用目的地址作为匹配项？例如，某公司有一台非常重要的服务器，其IP地址为，现希望对该服务器的访问权限进行限制。这时，你可以通过指定目的地址为匹配选项来解决该问题。配置如下：rule deny ip destination 0 /表示拒绝目的地址是的报文通过小编提醒：在将目的地址定义为ACL规则匹配项时，还需要同时指定通配符掩码，用来与目的地址字段共同确定一个地址范围。通配符掩码的格式与IP地址相同，也是

23、一个32比特位的数字字符串，用于指示目的IP地址中的哪些位将被检查。各比特位中，0表示“检查相应的位”，1表示“不检查相应的位”，概括为一句话就是“检查0，忽略1”。 如图所示，以8比特为例，通配符的低8位如果为全0，就表示对目的IP地址的低8位全部进行检查；全1就表示全部忽略。有多少位为0，就表示检查多少位；有多少位为1，就表示忽略多少位。为了进一步加深对通配符掩码的理解，小编特出一道考题来考考大家：destination-address = destination -wildcard = 55 ，表示什么范围的地址？1. 首先，分析该目的地址和通配符掩

24、码共同确定的地址范围的高两个字节。目的地址高两个字节是“172.30”，通配符掩码的高两个字节是“0.0”，按照“检查0”原则，该目的地址和通配符掩码确定的地址的高两个字节必然是“172.30”。2. 然后，再分析第三个字节。通配符掩码的第三个字节是15，转换为二进制比特是。根据“检查0，忽略1”原则，小编将分析过程画图如下。3. 由于通配符掩码的高4位是0000、后四位是1111，所以得出该目的地址和通配符掩码确定的地址的第三个字节，是这样一个地址范围，转化成十进制是1631。同理，目的地址的最后一个字节是0，通配符掩码的最后一个字节是255（转换成二进制比特是全1），按照“忽略1”原则，该

25、目的地址和通配符掩码确定的地址的第四个字节也是一个地址范围，转化成十进制是0255。基于以上分析，我们得到最终结果是：destination-address = destination-wildcard = 55共同确定的地址范围为/24/24，最小的IP地址是，最大的IP地址是55。小伙伴们，你们答对了吗？l 生效时间段 time-range 第一种模式相对时间段：以星期为参数来定义时间范围。格式为：time-range time-name start-time to

26、 end-time days & time-name：时间段名称，以英文字母开头的字符串。 start-time to end-time：开始时间和结束时间。格式为小时:分钟 to 小时:分钟。 days：有多种表达方式：o Mon、Tue、Wed、Thu、Fri、Sat、Sun中的一个或者几个的组合，也可以用数字表达，0表示星期日，1表示星期一，6表示星期六。 o working-day：从星期一到星期五，五天。 o daily：包括一周七天。 o off-day：包括星期六和星期日，两天。 第二种模式绝对时间段：从某年某月某日的某一时间开始，到某年某月某日的某一时间结束。格式为：time-

27、range time-name from time1 date1 to time2 date2 time：格式为 小时:分钟。 date：格式为YYYY/MM/DD,表示年/月/日。 什么情况下可以使用生效时间段作为匹配项？例如，每天20:0022:00为网络流量的高峰期，大量P2P、下载类业务的使用影响了其他数据业务的正常使用，此时通过设置在这个时间段内降低P2P、下载类业务的带宽，可以防止网络拥塞。配置如下：time-range time1 20:00 to 22:00 daily再举一例，某公司对外开放服务器的访问权限，但开放时间限制为：从2014年1月1日零点开始生效，到2014年12

28、月31日晚上23:59截止。此时通过设置在这个时间段内访问服务器的报文才允许通过，就可以达到基于时间的访问权限控制的效果。配置如下：time-range time2 from 00:00 2014/1/1 to 23:59 2014/12/31最后，小遍提醒大家，配置完时间段，千万别忘记要将时间段与ACL规则关联起来，这样才是一条基于时间的ACL的完整配置过程。配置如下：acl acl-numberrule rule-id deny | permit other-options time-range time-name好啦，说完ACL规则的匹配项，本文也要接近尾声了。回顾全文，小编围绕ACL匹

29、配机制、ACL匹配顺序和ACL匹配项展开了介绍，让大家了解了ACL匹配报文的整个流程，知道了ACL存在哪些匹配结果、ACL按照什么样的顺序进行规则匹配，并且掌握了最常用的ACL规则匹配项的使用方法。现在大家对ACL的认识，是不是又进一步加深了呢？ 在下一期连载系列中，小编将为大家带来ACL的应用篇，让大家了解ACL可以应用的范围，并将带领大家一起动手配置真实的ACL应用案例。敬请期待哟！附ACL系列技术贴：名称简介【交换机在江湖之初窥门径】访问控制列表-细说ACL那些事儿（初步认识ACL）围绕一张ACL结构图，介绍ACL最基本的概念，包括ACL的定义、作用、分类、ACL规则、步长的定义和作用。

30、3 访问控制列表-细说ACL那些事儿（ACL应用篇）铛铛铛铛铛，小伙伴们，小编又跟大家见面了！今天小编继续给大家说说ACL那些事儿，但不再是说ACL的基本概念，也不再说抽象的ACL理论。这一期，小编将给大家呈现丰富多彩的ACL应用，为大家讲解各个业务模块应用ACL时的处理机制差异、应用方式差异，并且带领大家一起动手配置真实的ACL应用案例。3.1 ACL应用范围通过前两期的ACL理论学习，大家知道ACL并不能单独完成控制网络访问行为或者限制网络流量的效果，而是需要应用到具体的业务模块才能实现上述功能。那么ACL到底可以应用在哪些业务中呢？小编总结了一下，ACL应用的业务模块非常多，但主要分为以

31、下四类：业务分类应用场景涉及业务模块登录控制对交换机的登录权限进行控制，允许合法用户登录，拒绝非法用户登录，从而有效防止未经授权用户的非法接入，保证网络安全性。例如，一般情况下交换机只允许管理员登录，非管理员用户不允许随意登录。这时就可以在Telnet中应用ACL，并在ACL中定义哪些主机可以登录，哪些主机不能。Telnet、SNMP、FTP、TFTP、SFTP、HTTP对转发的报文进行过滤对转发的报文进行过滤，从而使交换机能够进一步对过滤出的报文进行丢弃、修改优先级、重定向、IPSEC保护等处理。例如，可以利用ACL，降低P2P下载、网络视频等消耗大量带宽的数据流的服务等级，在网络拥塞时优先

32、丢弃这类流量，减少它们对其他重要流量的影响。QoS流策略、NAT、IPSEC对上送CPU处理的报文进行过滤对上送CPU的报文进行必要的限制，可以避免CPU处理过多的协议报文造成占用率过高、性能下降。例如，发现某用户向交换机发送大量的ARP攻击报文，造成交换机CPU繁忙，引发系统中断。这时就可以在本机防攻击策略的黑名单中应用ACL，将该用户加入黑名单，使CPU丢弃该用户发送的报文。黑名单、白名单、用户自定义流路由过滤ACL可以应用在各种动态路由协议中，对路由协议发布和接收的路由信息进行过滤。例如，可以将ACL和路由策略配合使用，禁止交换机将某网段路由发给邻居路由器。BGP、IS-IS、OSPF、

33、OSPFv3、RIP、RIPng、组播协议3.2 ACL业务模块的处理机制各类ACL应用的业务模块对命中/未命中ACL的处理机制是各不相同的。例如，在流策略中应用ACL时，如果ACL中存在规则但报文未匹配上，该报文仍可以正常通过；但在Telnet中应用ACL，这种情况下，该报文就无法正常通过了。再如，在黑名单中应用ACL时，无论ACL规则配置成permit还是deny，只要报文命中了规则，该报文都会被系统丢弃，其他模块却不存在这种情况。所以，大家在配置ACL规则并应用到业务模块中时，一定要格外小心。为了方便大家查阅，小编特地将常用ACL业务模块的处理机制进行了整理。业务模块匹配上了permit

34、规则匹配上了deny规则ACL中配置了规则，但未匹配上任何规则ACL中没有配置规则ACL未创建Telnetpermit（允许登录）deny（拒绝登录）deny（拒绝登录） permit（允许登录）permit（允许登录）HTTPpermit（允许登录）deny（拒绝登录）deny（拒绝登录）permit（允许登录）permit（允许登录）SNMPpermit（允许登录）deny（拒绝登录）deny（拒绝登录）permit（允许登录）permit（允许登录）FTPpermit（允许登录）deny（拒绝登录）deny（拒绝登录）permit（允许登录）permit（允许登录）TFTPpermit（

35、允许登录）deny（拒绝登录）deny（拒绝登录）permit（允许登录）permit（允许登录）SFTPpermit（允许登录）deny（拒绝登录）deny（拒绝登录）permit（允许登录）permit（允许登录）流策略流行为是permit时:permit（允许通过）流行为是deny时：deny（丢弃报文）deny(丢弃报文)permit（功能不生效，按照原转发方式进行转发）permit（功能不生效，按照原转发方式进行转发）permit（功能不生效，按照原转发方式进行转发）NATpermit(进行NAT转换)permit（功能不生效，按照原转发方式进行转发）permit（功能不生效，按照原

36、转发方式进行转发） permit（功能不生效，按照原转发方式进行转发）permit（功能不生效，按照原转发方式进行转发）IPSECpermit(数据流经过IPSec处理后再转发)不允许出现此情况permit（功能不生效，按照原转发方式进行转发）不允许出现此情况不允许出现此情况本机防攻击策略白名单permit(CPU优先处理)deny(丢弃报文)permit （功能不生效，正常上送报文）permit（功能不生效，正常上送报文）permit（功能不生效，正常上送报文）黑名单deny(丢弃报文)deny(丢弃报文)permit （功能不生效，正常上送报文）permit （功能不生效，正常上送报文）p

37、ermit （功能不生效，正常上送报文）用户自定义流用户自定义流的处理动作是deny时：deny(丢弃报文) 动作是car时：permit(进行CAR限速)deny(丢弃报文)permit （功能不生效，按照原转发方式进行转发）permit （功能不生效，正常上送报文）permit （功能不生效，正常上送报文）路由Route Policy匹配模式是permit时：permit(允许执行路由策略)匹配模式是deny时：deny(不允许执行路由策略)deny（功能不生效，不允许执行路由策略）deny（功能不生效，不允许执行路由策略）permit（对经过的所有路由生效）deny（功能不生效，不允许执

38、行路由策略）Filter Policypermit（允许发布或接收该路由）deny（不允许发布或接收该路由）deny（不允许发布或接收该路由）deny（不允许发布或接收路由）permit（允许发布或接收路由）组播igmp-snooping ssm-policypermit(允许加入SSM组播组范围)deny(禁止加入SSM组地址范围)deny(禁止加入SSM组地址范围)deny（禁止加入SSM组地址范围，所有组都不在SSM组地址范围内）deny(禁止加入SSM组地址范围，只有临时组地址范围55在SSM组地址范围内)igmp-snooping grou

39、p-policy配置了default-permit时：permit(允许加入组播组)未配置default-permit： permit(允许加入组播组)配置了default-permit时：deny(禁止加入组播组)未配置default-permit：deny (禁止加入组播组)配置了default-permit时：permit（允许加入组播组）未配置default-permit：deny（禁止加入组播组）配置了default-permit时：permit（允许加入组播组）未配置default-permit：deny（禁止加入组播组）配置了default-permit时：permit（允许加入

40、组播组）未配置default-permit：deny（禁止加入组播组）3.3 ACL应用方式每个业务模块的ACL应用方式，风格也是各不相同。为此，小编同样进行了一番整理，供大家参考查阅。业务模块ACL应用方式可使用的ACL编号范围Telnet方式一：系统视图下执行命令telnet ipv6 server acl acl-number方式二：a、执行命令user-interface vty first-ui-number last-ui-number ，进入VTY用户界面视图b、执行命令acl ipv6 acl-number inbound | outbound 20003999HTTP系统视图

41、下执行命令http acl acl-number20003999SNMPSNMPv1和SNMPv2c：系统视图下执行命令snmp-agent acl acl-number或snmp-agent community read | write community-name | cipher community-name mib-view view-name | acl acl-number *SNMPv3：系统视图下执行命令snmp-agent acl acl-number、snmp-agent group v3 group-name authentication | privacy | noau

42、thentication read-view read-view | write-view write-view | notify-view notify-view * acl acl-number 或snmp-agent usm-user v3 user-name group group-name | acl acl- number *20002999FTP系统视图下执行命令ftp ipv6 acl acl-number20003999TFTP系统视图下执行命令tftp-server ipv6 acl acl-number20003999SFTP方式一：系统视图下执行命令ssh ipv6 s

43、erver acl acl-number方式二：a、执行命令user-interface vty first-ui-number last-ui-number ，进入VTY用户界面视图b、执行命令acl ipv6 acl-number inbound | outbound 20003999流策略a、 系统视图下执行命令traffic classifier classifier-name operator and | or precedence precedence-value ，进入流分类视图。b、 执行命令if-match acl acl-number | acl-name ，配置ACL应用

44、于流分类。c、 系统视图下执行命令traffic behavior behaviorname，定义流行为并进入流行为视图。d、 配置流动作。报文过滤有两种流动作：deny 或permit。e、 系统视图下执行命令traffic policy policy-name match-order auto | config ，定义流策略并进入流策略视图。f、 执行命令classifier classifier-name behavior behavior-name，在流策略中为指定的流分类配置所需流行为，即绑定流分类和流行为。在系统视图、接口视图或VLAN视图下，执行命令traffic-policy

45、policy-name inbound | outbound ，应用流策略。ACL：20005999ACL6：20003999NAT方式一：a、 系统视图下执行命令nat address-group group-index start-address end-address，配置公网地址池。b、 执行命令interface interface-type interface-number.subnumber，进入子接口视图。c、 执行命令nat outbound acl-number address-group group-index no-pat ，配置带地址池的NAT Outbound。方式

46、二：a、 系统视图下执行命令interface interface-type interface-number.subnumber，进入子接口视图。b、 执行命令nat outbound acl-number，配置Easy IP。20003999IPSEC方式一：a、 系统视图下执行命令ipsec policy policy-name seq-number manual，创建手工方式安全策略，并进入手工方式安全策略视图。b、 执行命令security acl acl-number，在安全策略中引用ACL。方式二：a、 系统视图下执行命令ipsec policy policy-name seq-

47、number isakmp，创建IKE动态协商方式安全策略，并进入IKE动态协商方式安全策略视图。b、 执行命令security acl acl-number，在安全策略中引用ACL。方式三：a、 系统视图下执行命令ipsec policy-template template-name seq-number，创建策略模板，并进入策略模板视图。b、 执行命令security acl acl-number，在安全策略中引用ACL。c、 系统视图下执行命令ipsec policy policy-name seq-number isakmp template template-name，在安全策略中引

48、用策略模板。30003999本机防攻击策略白名单a、 系统视图下执行命令cpu-defend policy policy-name，创建防攻击策略并进入防攻击策略视图。b、 执行命令whitelist whitelist-id acl acl-number，创建自定义白名单。c、 系统视图下执行命令cpu-defend-policy policy-name global ，或槽位视图下执行命令cpu-defend-policy policy-name，应用防攻击策略。20004999黑名单a、 系统视图下执行命令cpu-defend policy policy-name，创建防攻击策略并进入防

49、攻击策略视图。b、 执行命令blacklist blacklist-id acl acl-number，创建黑名单。c、 系统视图下执行命令cpu-defend-policy policy-name global ，或槽位视图下执行命令cpu-defend-policy policy-name，应用防攻击策略。20004999用户自定义流a、 系统视图下执行命令cpu-defend policy policy-name，创建防攻击策略并进入防攻击策略视图。b、 执行命令user-defined-flow flow-id acl acl-number，配置用户自定义流。c、 系统视图下执行命令c

50、pu-defend-policy policy-name global ，或槽位视图下执行命令cpu-defend-policy policy-name，应用防攻击策略。20004999路由Route Policya、 系统视图下执行命令route-policy route-policy-name permit | deny node node，创建Route-Policy，并进入Route-Policy视图。b、 执行命令if-match acl acl-number | acl-name ，配置基于ACL的匹配规则；或者配置apply子句为路由策略指定动作，如执行命令apply cost

51、+ | - cost，设置路由的开销值等。c、 应用路由策略。路由协议不同，命令行不同。例如针对OSPF协议，可以在OSPF视图下，执行命令import-route limit limit-number | bgp permit-ibgp | direct | unr | rip process-id-rip | static | isis process-id-isis | ospf process-id-ospf cost cost | type type | tag tag | route-policy route-policy-name * ，引入其他路由协议学习到的路由信息；针对RI

52、P协议，可以在RIP视图下，执行命令import-route static | direct | unr | rip | ospf | isis process-id cost cost | route-policy route-policy-name *。20002999Filter Policy路由协议不同，过滤方向不同，命令行不同。例如针对RIP协议，对引入的路由进行过滤，可以在RIP视图下执行命令filter-policy acl-number | acl-name acl-name | ip-prefix ip-prefix-name gateway ip-prefix-name i

53、mport interface-type interface-number ；对发布的路由进行过滤，可以在RIP视图下执行命令filter-policy acl-number | acl-name acl-name | ip-prefix ip-prefix-name export protocol process-id | interface-type interface-number 。20002999组播igmp-snooping ssm-policyVLAN视图下执行命令igmp-snooping ssm-policy basic-acl-number20002999igmp-snoo

54、ping group-policyVLAN视图下执行命令igmp-snooping group-policy acl-number version version-number default-permit 20003999好啦，有了小编整理的这两张表做参考，配置ACL应用案例就可以轻松搞定啦！下面就跟随小编一起，动手试试吧3.4 ACL应用案例案例1：使用ACL限制Telnet访问权限为了保障远程维护网络设备的安全性，现要求只有管理员（源地址是/32）才能telnet登录交换机，其他人不允许登录。要实现这个需求，一定是在Telnet模块中应用ACL。那么该如何配置ACL规则呢

55、？大家是不是认为应该先配置一条permit规则允许/32登录，然后再配置多条deny规则拒绝其他地址登录呢？其实大可不必。查阅Telnet模块的报文处理机制参照表，当ACL中存在规则的情况下，如果报文匹配上permit规则，则该地址允许登录设备；如果未匹配上规则，该地址被拒绝登录设备。业务模块匹配上了permit规则匹配上了deny规则ACL中配置了规则，但未匹配上任何规则ACL中没有配置规则ACL未创建Telnetpermit（允许登录）deny（拒绝登录）deny（拒绝登录） permit（允许登录）permit（允许登录）因此，我们仅需配置一条允许/32地址通过的permit规则即可，/32以外的地址的报文因匹配不上任何规则会被拒绝登录。案例1关键配置的配置文件如下：#telnet server port 1025#acl number 2001 /创建基本ACL，编号为2001 rule 5 permit source 0 /仅允许/32登录#aaa local-user admin1234 password irreversible-cipher * /登录密码用*代替，请根据实际情况