来自AI助手的总结
ACL可用于流量过滤、登录控制、路由过滤等,不同模块默认动作不同
一、ACL的应用模块
ACL应用的业务模块,主要分为以下几类:
| 业务分类 | 应用场景 | 涉及业务模块 |
|---|---|---|
| 对转发的报文进行过滤 | 基于全局、接口和VLAN,对转发的报文进行过滤,从而使设备能够进一步对过滤出的报文进行丢弃、修改优先级、重定向等处理。例如,可以利用ACL,降低P2P下载、网络视频等消耗大量带宽的数据流的服务等级,在网络拥塞时优先丢弃这类流量,减少它们对其他重要流量的影响。 | 简化流策略/流策略 |
| 对上送CPU处理的报文进行过滤 | 对上送CPU的报文进行必要的限制,可以避免CPU处理过多的协议报文造成占用率过高、性能下降。例如,当发现某用户向设备发送大量的ARP攻击报文,造成设备CPU繁忙,引发系统中断时,可以在本机防攻击策略的黑名单中应用ACL,将该用户加入黑名单,使CPU丢弃该用户发送的报文 | 黑名单 |
| 登录控制 | 对设备的登录权限进行控制,允许合法用户登录,拒绝非法用户登录,从而有效防止未经授权用户的非法接入,保证网络安全性。 | Telnet、STelnet、FTP、SFTP、HTTP、SNMP |
| 路由过滤 | ACL可以应用在各种动态路由协议中,对路由协议发布、接收的路由信息以及组播组进行过滤。 | RIP、RIPng、组播协议 |
| # 二、应用模块的ACL默认动作和处理机制 | ||
| 在各类业务模块中应用ACL时,ACL的默认动作各有不同,所以各业务模块对命中/未命中ACL规则报文的处理机制也各不相同。 |
例如,流策略中的ACL默认动作是permit,在流策略中应用ACL时,如果ACL中存在规则但报文未匹配上,该报文仍可以正常通过。而Telnet中的ACL默认动作是deny,在Telnet中应用ACL时,如果遇到此种情况,该报文会被拒绝通过。
此外,黑名单模块中的ACL处理机制与其他模块有所不同。在黑名单中应用ACL时,无论ACL规则配置成permit还是deny,只要报文命中了规则,该报文都会被系统丢弃。
各类业务模块中的ACL默认动作及ACL处理机制,如下所示:
| ACL默认动作及处理规则 | Telnet | STelnet | HTTP | FTP | TFTP |
|---|---|---|---|---|---|
| ACL默认动作 | deny | deny | deny | deny | deny |
| 命中permit规则 | permit(允许登录) | permit(允许登录) | permit(允许登录) | permit(允许登录) | permit(允许登录) |
| 命中deny规则 | deny(拒绝登录) | deny(拒绝登录) | deny(拒绝登录) | deny(拒绝登录) | deny(拒绝登录) |
| ACL中配置了规则,但未命中任何规则 | deny(拒绝登录) | deny(拒绝登录) | deny(拒绝登录) | deny(拒绝登录) | deny(拒绝登录) |
| ACL中未配置规则 | permit(允许登录) | permit(允许登录) | permit(允许登录) | permit(允许登录) | permit(允许登录) |
| ACL未创建 | permit(允许登录) | permit(允许登录) | permit(允许登录) | permit(允许登录) | permit(允许登录) |
| ACL默认动作及处理规则 | SFTP | SNMP | 流策略 | 简化流策略 | 本机防攻击策略(黑名单) |
| — | — | — | — | — | — |
| ACL默认动作 | deny | deny | permit | permit | permit |
| 命中permit规则 | permit(允许登录) | permit(允许登录) | 流行为是permit时:permit(允许通过);流行为是deny时,deny(丢弃报文);流行为是其他动作时,permit(执行流策略动作) | permit(执行简化流策略动作) | deny(丢弃报文) |
| 命中deny规则 | deny(拒绝登录) | deny(拒绝登录) | deny(丢弃报文)说明:报文命中deny规则时,只有在流行为是流量统计、MAC地址不学习或流镜像的情况下,设备才会执行流行为动作,否则流行为动作不生效。 | 简化流策略动作为报文过滤(traffic-filter或traffic-secure)时:deny(丢弃报文);简化流策略动作为其他动作时:permit(执行简化流策略动作) | deny(丢弃报文) |
| ACL中配置了规则,但未命中任何规则 | deny(拒绝登录) | deny(拒绝登录) | permit(功能不生效,按照原转发方式进行转发) | permit(功能不生效,按照原转发方式进行转发) | permit(功能不生效,正常上送报文) |
| ACL中未配置规则 | permit(允许登录) | permit(允许登录) | permit(功能不生效,按照原转发方式进行转发) | permit(功能不生效,按照原转发方式进行转发) | permit(功能不生效,正常上送报文) |
| ACL未创建 | permit(允许登录) | permit(允许登录) | permit(功能不生效,按照原转发方式进行转发) | permit(功能不生效,按照原转发方式进行转发) | permit(功能不生效,正常上送报文) |
| ACL默认动作及处理规则 | Route Policy | Filter Policy | igmp-snooping ssm-policy | igmp-snooping group-policy | |
| — | — | — | — | — | |
| ACL默认动作 | deny | deny | deny | 配置了default-permit时:permit;未配置default-permit时:deny | |
| 命中permit规则 | 匹配模式是permit时:permit(允许执行路由策略);匹配模式是deny时:deny(不允许执行路由策略) | permit(允许发布或接收该路由) | permit(允许加入SSM组播组范围) | 配置了default-permit时:permit(允许加入组播组);未配置default-permit时:permit(允许加入组播组) | |
| 命中deny规则 | deny(功能不生效,不允许执行路由策略) | deny(不允许发布或接收该路由) | deny(禁止加入SSM组地址范围) | 配置了default-permit时:deny(禁止加入组播组);未配置default-permit时:deny(禁止加入组播组) | |
| ACL中配置了规则,但未命中任何规则 | deny(功能不生效,不允许执行路由策略) | deny(不允许发布或接收该路由) | deny(禁止加入SSM组地址范围) | 配置了default-permit时:permit(允许加入组播组);未配置default-permit时:deny(禁止加入组播组) | |
| ACL中未配置规则 | permit(对经过的所有路由生效) | deny(不允许发布或接收路由) | deny(禁止加入SSM组地址范围,所有组都不在SSM组地址范围内) | 配置了default-permit时:permit(允许加入组播组);未配置default-permit时:deny(禁止加入组播组) | |
| ACL未创建 | deny(功能不生效,不允许执行路由策略) | permit(允许发布或接收路由) | deny(禁止加入SSM组地址范围,只有临时组地址范围232.0.0.0~232.255.255.255在SSM组地址范围内) | 配置了default-permit时:permit(允许加入组播组);未配置default-permit时:deny(禁止加入组播组) |
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容