访问控制列表-细说ACL那些事儿(ACL应用篇).docxVIP

文档名称文档密级  TIME \@ yyyy-M-d 2017-4-28华为保密信息,未经授权禁止扩散第PAGE13页, 共 NUMPAGES \* Arabic \* MERGEFORMAT 13页 访问控制列表-细说ACL那些事儿（ACL应用篇） 铛铛铛铛铛，小伙伴们，小编又跟大家见面了！今天小编继续给大家说说ACL那些事儿，但不再是说ACL的基本概念，也不再说抽象的ACL理论。这一期，小编将给大家呈现丰富多彩的ACL应用，为大家讲解各个业务模块应用ACL时的处理机制差异、应用方式差异，并且带领大家一起动手配置真实的ACL应用案例。 ACL应用范围 通过前两期的ACL理论学习，大家知道ACL并不能单独完成控制网络访问行为或者限制网络流量的效果，而是需要应用到具体的业务模块才能实现上述功能。 那么ACL到底可以应用在哪些业务中呢？ 小编总结了一下，ACL应用的业务模块非常多，但主要分为以下四类： 业务分类应用场景涉及业务模块登录控制对交换机的登录权限进行控制，允许合法用户登录，拒绝非法用户登录，从而有效防止未经授权用户的非法接入，保证网络安全性。 例如，一般情况下交换机只允许管理员登录，非管理员用户不允许随意登录。这时就可以在Telnet中应用ACL，并在ACL中定义哪些主机可以登录，哪些主机不能。Telnet、SNMP、FTP、TFTP、SFTP、HTTP对转发的报文进行过滤对转发的报文进行过滤，从而使交换机能够进一步对过滤出的报文进行丢弃、修改优先级、重定向、IPSEC保护等处理。 例如，可以利用ACL，降低P2P下载、网络视频等消耗大量带宽的数据流的服务等级，在网络拥塞时优先丢弃这类流量，减少它们对其他重要流量的影响。QoS流策略、NAT、IPSEC对上送CPU处理的报文进行过滤对上送CPU的报文进行必要的限制，可以避免CPU处理过多的协议报文造成占用率过高、性能下降。 例如，发现某用户向交换机发送大量的ARP攻击报文，造成交换机CPU繁忙，引发系统中断。这时就可以在本机防攻击策略的黑名单中应用ACL，将该用户加入黑名单，使CPU丢弃该用户发送的报文。黑名单、白名单、用户自定义流路由过滤ACL可以应用在各种动态路由协议中，对路由协议发布和接收的路由信息进行过滤。 例如，可以将ACL和路由策略配合使用，禁止交换机将某网段路由发给邻居路由器。BGP、IS-IS、OSPF、OSPFv3、RIP、RIPng、组播协议 ACL业务模块的处理机制 各类ACL应用的业务模块对命中/未命中ACL的处理机制是各不相同的。 例如，在流策略中应用ACL时，如果ACL中存在规则但报文未匹配上，该报文仍可以正常通过；但在Telnet中应用ACL，这种情况下，该报文就无法正常通过了。 再如，在黑名单中应用ACL时，无论ACL规则配置成permit还是deny，只要报文命中了规则，该报文都会被系统丢弃，其他模块却不存在这种情况。 所以，大家在配置ACL规则并应用到业务模块中时，一定要格外小心。 为了方便大家查阅，小编特地将常用ACL业务模块的处理机制进行了整理。 业务模块匹配上了permit规则匹配上了deny规则ACL中配置了规则，但未匹配上任何规则ACL中没有配置规则ACL未创建Telnetpermit（允许登录）deny（拒绝登录）deny（拒绝登录） permit（允许登录）permit（允许登录）HTTPpermit（允许登录）deny（拒绝登录）deny（拒绝登录）permit（允许登录）permit（允许登录）SNMPpermit（允许登录）deny（拒绝登录）deny（拒绝登录）permit（允许登录）permit（允许登录）FTPpermit（允许登录）deny（拒绝登录）deny（拒绝登录）permit（允许登录）permit（允许登录）TFTPpermit（允许登录）deny（拒绝登录）deny（拒绝登录）permit（允许登录）permit（允许登录）SFTPpermit（允许登录）deny（拒绝登录）deny（拒绝登录）permit（允许登录）permit（允许登录）流策略流行为是permit时:permit（允许通过） 流行为是deny时：deny（丢弃报文）deny(丢弃报文)permit（功能不生效，按照原转发方式进行转发）permit（功能不生效，按照原转发方式进行转发）permit（功能不生效，按照原转发方式进行转发）NATpermit(进行NAT转换)permit（功能不生效，按照原转发方式进行转发）permit（功