| ACL应用模块的ACL默认动作和处理机制 | 您所在的位置:网站首页 › acl匹配拒绝报文丢弃 › ACL应用模块的ACL默认动作和处理机制 |
|
ACL应用模块的ACL默认动作和处理机制 报文最终是被允许通过还是拒绝通过,实际是ACL规则中的指定动作和应用ACL的各个业务模块来共同决定。不同的业务模块,对命中和未命中规则报文的处理方式也各不相同。例如,在Telnet模块中应用ACL,只要报文命中了规则且ACL规则动作为permit,就允许通过;而在流策略中应用ACL,如果报文命中了规则且ACL规则动作为permit,但流行为动作配置的是deny,该报文仍会被拒绝通过。 关于各个业务模块ACL处理机制的详细介绍,各类业务模块中的ACL默认动作及ACL处理机制,如表3-2所示。 表3-2 各业务模块的ACL默认动作及ACL处理机制ACL处理动作 VTY Telnet SSH FTP SNMP MQC(流策略/简化流策略) 本机防攻击黑名单 本机防攻击过滤器 攻击溯源白名单 默认动作 deny deny deny deny deny permit permit permit 白名单不生效 命中permit规则 如果该ACL应用在inbound方向,则允许匹配该规则的其他设备访问本设备 如果该ACL应用在outbound方向,则允许本设备访问匹配该规则的其他设备 permit(允许登录) permit(允许登录) permit(允许登录) permit(允许登录) permit(执行策略动作) deny(丢弃报文) permit(执行策略动作) 添加白名单,不受permit规则影响 命中deny规则 如果该ACL应用在inbound方向,则拒绝匹配该规则的其他设备访问本设备 如果该ACL应用在outbound方向,则拒绝本设备访问匹配该规则的其他设备 deny(拒绝登录) deny(拒绝登录) deny(拒绝登录) deny(拒绝登录) deny(丢弃报文) deny(丢弃报文) deny(丢弃报文) 添加白名单,不受deny规则影响 ACL中配置了规则,但未命中 如果该ACL应用在inbound方向,则拒绝其他设备访问本设备 如果该ACL应用在outbound方向,则拒绝本设备访问其他设备 deny(拒绝登录) deny(拒绝登录) deny(拒绝登录) deny(拒绝登录) permit(功能不生效,报文正常转发) permit(功能不生效,报文正常上送CPU) permit(功能不生效,报文正常上送CPU) 白名单不生效 ACL中未配置任何规则 如果该ACL应用在inbound方向,则允许任何其他设备访问本设备 如果该ACL应用在outbound方向,则允许本设备访问任何其他设备 permit(允许登录) permit(允许登录) permit(允许登录) permit(允许登录) permit(功能不生效,报文正常转发) permit(功能不生效,报文正常上送CPU) permit(功能不生效,报文正常上送CPU) 白名单不生效 ACL中配置VPN信息 VPN参数生效,如果报文入端口的VPN参数与ACL中VPN参数不一致,则拒绝登录 VPN参数生效,如果报文入端口的VPN参数与ACL中VPN参数不一致,则拒绝登录 VPN参数生效,如果报文入端口的VPN参数与ACL中VPN参数不一致,则拒绝登录 VPN参数生效,如果报文入端口的VPN参数与ACL中VPN参数不一致,则拒绝登录 VPN参数生效,如果报文入端口的VPN参数与ACL中VPN参数不一致,则拒绝登录 VPN参数不生效 VPN参数不生效 VPN参数不生效 VPN参数不生效 |
| CopyRight 2018-2019 实验室设备网 版权所有 |