配置基于ACL的报文过滤
背景信息
通过配置基于ACL的报文过滤,对匹配ACL规则报文进行禁止/允许动作,进而实现对网络流量的控制。
如果traffic-filter或traffic-secure关联的ACL没有同时被其他基于ACL的简化流策略所关联,且报文不会同时匹配报文过滤和其他简化流策略关联的ACL规则时,traffic-filter和traffic-secure可以任选其一。
如果traffic-filter或traffic-secure关联的ACL同时被其他基于ACL的简化流策略所关联,或者报文同时匹配了报文过滤和其他简化流策略关联的ACL时,traffic-filter和traffic-secure的区别如下:
当traffic-secure和其他基于ACL的简化流策略同时配置,且ACL规则中的动作为deny时,仅traffic-secure、traffic-mirror和traffic-statistics命令生效,且报文被过滤。
当traffic-secure和其他基于ACL的简化流策略同时配置,且ACL规则中的动作为permit时,traffic-secure命令和其他基于ACL的简化流策略均生效。
当traffic-filter和其他基于ACL的简化流策略同时配置,且ACL规则中的动作为deny时,仅traffic-filter、traffic-mirror和traffic-statistics命令生效,且报文被过滤。
当traffic-filter和其他基于ACL的简化流策略同时配置,且ACL规则中的动作为permit时,先配置的简化流策略生效。
如果ACL中rule规则配置为deny且基于该ACL的traffic-filter配置在出方向,当报文匹配该ACL规则时,会导致由CPU发送的ICMP、OSPF、BGP、RIP、SNMP、Telnet等协议控制报文被丢弃,相关协议的功能会受到影响。
在全局或VLAN上实现的基于ACL的报文过滤,ACL范围为2000~5999。在NAC网络中用于对用户访问控制的基于ACL的报文过滤,ACL范围为6000~9999,参考traffic-filter acl。