评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
ACL应用于Telnet(VTY)、SNMP、FTP、TFTP
处理流程
Telnet、SNMP、FTP或TFTP登录时:
- 如果登录用户的地址匹配上的ACL规则是permit,允许此用户登录设备。
- 如果登录用户的地址匹配上的ACL规则是deny,禁止此用户登录。
- 如果登录用户的地址匹不在ACL配置规则范围内,禁止此用户登录。
- 如果ACL不存在规则或是引用的ACL不存在,用户登录不受ACL的控制。
如果ACL没有匹配上任何规则,则FTP的默认行为是deny。
SNMP引用ACL时,若设备接收到团体名为空的报文,那么设备就会直接丢弃报文,记录团体字错误日志,且不进行ACL校验。只有团体名为非空时才会触发ACL校验。
图3-1 ACL处理流程图-Telnet(VTY)、SNMP、FTP、TFTP
![]()
Telnet(VTY)使用ACL举例
某IP承载网,为保障网络接入安全,要求在设备VTP里添加ACL权限,只允许下挂网管VPN内的网管服务器(IP地址为10.0.102.113)可以登录设备。
配置如下:
# acl 2013 //创建基本ACL,列表号为2013。 rule 5 permit vpn-instance vpna source 10.0.102.113 0 //允许vpna内源IP 10.0.102.113登录。 rule 500 deny //阻止其他一切终端登录设备。 # user-interface vty 0 4 acl 2013 inbound //对用户界面VTY0~4 的呼入进行限制。 authentication-mode aaa protocol inbound all # user-interface vty 5 14 acl 2013 inbound //对用户界面VTY5~14 的呼入进行限制。
如果是VPN业务内的地址访问设备,需要在ACL里增加VPN实例名。
FTP使用ACL举例
某设备连接了二个网段,分别为10.1.1.0/24和10.1.2.0/24。在10.1.1.0/24网段内有一台服务器提供WWW服务,IP地址为10.1.1.19。
要求10.1.1.0/24和10.1.2.0/24网段中除10.1.1.19服务器外的其他主机允许与设备建立FTP连接。10.1.1.19禁止与设备建立FTP连接。
# acl 2013 //创建基本ACL,列表号为2013 rule 5 deny source 10.1.1.19 0 //禁止10.1.1.19/32主机。 rule 10 permit source 10.1.1.0 0.0.0.255 //允许10.1.1.0/24内的主机。 rule 15 permit source 10.1.2.0 0.0.0.255 //允许10.1.2.0/24内的主机。 # ftp acl 2013 //FTP中应用ACL后,只有10.1.1.19不能与本设备建立FTP链接,其他10.1.1.0/24和10.1.2.0/24内的IP地址都可以。