ACL应用于Telnet(VTY)、SNMP、FTP、TFTP

处理流程

Telnet、SNMP、FTP或TFTP登录时：

• 如果登录用户的地址匹配上的ACL规则是permit，允许此用户登录设备。
• 如果登录用户的地址匹配上的ACL规则是deny，禁止此用户登录。
• 如果登录用户的地址匹不在ACL配置规则范围内，禁止此用户登录。
• 如果ACL不存在规则或是引用的ACL不存在，用户登录不受ACL的控制。

如果ACL没有匹配上任何规则，则FTP的默认行为是deny。

SNMP引用ACL时，若设备接收到团体名为空的报文，那么设备就会直接丢弃报文，记录团体字错误日志，且不进行ACL校验。只有团体名为非空时才会触发ACL校验。

图3-1 ACL处理流程图-Telnet(VTY)、SNMP、FTP、TFTP

Telnet(VTY)使用ACL举例

某IP承载网，为保障网络接入安全，要求在设备VTP里添加ACL权限，只允许下挂网管VPN内的网管服务器（IP地址为10.0.102.113）可以登录设备。

配置如下：

# 
acl 2013 //创建基本ACL，列表号为2013。
rule 5 permit vpn-instance vpna source 10.0.102.113 0 //允许vpna内源IP 10.0.102.113登录。
rule 500 deny //阻止其他一切终端登录设备。
#
user-interface vty 0 4          
 acl 2013 inbound  //对用户界面VTY0~4 的呼入进行限制。
 authentication-mode aaa
 protocol inbound all
# 
user-interface vty 5 14 
 acl 2013 inbound  //对用户界面VTY5~14 的呼入进行限制。

如果是VPN业务内的地址访问设备，需要在ACL里增加VPN实例名。

FTP使用ACL举例

某设备连接了二个网段，分别为10.1.1.0/24和10.1.2.0/24。在10.1.1.0/24网段内有一台服务器提供WWW服务，IP地址为10.1.1.19。

要求10.1.1.0/24和10.1.2.0/24网段中除10.1.1.19服务器外的其他主机允许与设备建立FTP连接。10.1.1.19禁止与设备建立FTP连接。

# 
acl 2013   //创建基本ACL，列表号为2013
   rule 5 deny source 10.1.1.19 0              //禁止10.1.1.19/32主机。
   rule 10 permit source 10.1.1.0 0.0.0.255    //允许10.1.1.0/24内的主机。
   rule 15 permit source 10.1.2.0 0.0.0.255    //允许10.1.2.0/24内的主机。
# 
ftp acl 2013  //FTP中应用ACL后，只有10.1.1.19不能与本设备建立FTP链接，其他10.1.1.0/24和10.1.2.0/24内的IP地址都可以。