访问控制列表.细说ACL那些事儿（ACL应用篇）铛铛铛铛铛，小伙伴们，小编又跟大家见面了！今天小编继续给大家说说ACL那些事儿，但不再是说ACL的基本概念，也不再说抽象的ACL理论。这一期，小编将给大家呈现丰富多彩的ACL应用，为大家讲解各个业务模块应用ACL时的处理机制差异、应用方式差异，并且带领大家一起动手配置真实的ACL应用案例。通过前两期的ACL理论学习，大家知道ACL并不能单独完成控制网络访问行为或者限制网络流量的效果，而是需要应用到具体的业务模块才能实现上述功能。Lli那么ACL到底可以应用在哪些业务中呢？小编总结了一下，ACL应用的业务模块非常多，但主要分为以下四类:业务分类应用场景涉及业务模块登录控制对交换机的登录权限进行控制，允许合法用户登录，拒绝非法用户登录，从而有效防止未经授权用户的非法接入，保证网络安全性。例如，一般情况下交换机只允许管理员登录，非管理员用户不允许随意登录。这时就可以在Telnet中应用ACL,并在ACL中定义哪些主机可以登录，哪些主机不能。Telnet、SNMP、FTP、TFTP>SFTP、对转发的报文进行过滤对转发的报文进行过滤，从而使交换机能够进一步对过滤出的报文进行丢弃、修改优先级、重定向、IPSEC保护等处理。例如，可以利用ACL,降低P2P下载、网络视频等消耗大量带宽的数据流的服务等级，在网络拥塞时优先丢弃这类流量，减少它们对其他重要流量的影响。QoS流策略、NAT、IPSEC对上送CPU处理的报文进行过滤对上送CPU的报文进行必要的限制，可以避免CPU处理过多的协议报文造成占用率过高、性能下降。黑名单、白名单、用户自定义流1ACL应用范例如，发现某用户向交换机发送大量的分析上述需求，实际上就是要对源IP=10.10.1.0/24访问目的1?=10.10.4.9/32的转发流量、以及源IP=10.1020/24访问目的田=10.10.4.9/32的转发流量，在特定时间内进行限制，其他访问流量则不受限制，所以我们可以通过在流策略中应用ACL来解决。1）首先，查阅流策略模块的ACL处理机制参照表，为需要过滤的报文配置ACL规则。当ACL中存在规则的情况下，如果报文匹配上deny规则，则被拒绝通过；如果未匹配上，则会被正常转发。因此，根据上述需求，我们只需要针对两类需限制的流量，分别配置deny规则即可。其他地址访问服务器的报文因匹配不上任何规则而被正常转发，不受限制。业务模块匹配上了permit规则匹配上了deny规则ACL中配置了规则，但未匹配上任何规则ACL中没有配置规则ACL未仓ij建流策略流行为是permit时：permit（允许通过）流行为是deny时：deny（丢弃报文）deny（丢弃报文）permit（功能不生效，按照原转发方式进行转发）permit（功能不生效，按照原转发方式进行转发）permit（功能不生效，按照原转发方式进行转发）2）其次，我们需要注意，需求中强调了是在一定时间范围内进行流量限制，所以仅仅进行流量控制是不可行的，还必须在规则中引入生效时间段。我们定义一个时间段名称为control-time,并配置该时间段为8:00至17:30,然后在规则中指定，勿〃4〃箔参数为control-time,即把生效时间段与ACL关联起来了。VLAN34GE1/0/1VLAN1VLAN1GE1/0/3市场部门10.10.1.0/24总裁办公室10.10.3.0/24研发部门10.10.2.0/24工资查询服务器10.10.4.9/32SwitchGE1/0/4GE1/0/03)最后，我们再查阅流策略ACL应用方式参照表，将ACL应用到流策略中。根据上述需求，我们为市场部和研发部分别配置两个流分类jmarket、c_rd,然后将配置的两条deny规则对应的ACL应用到两个流分类中，并配置两个流行为动作为deny。同时为市场部和研发部分别创建流策略p_market和p_rd,并将流分类和流行为与流策略绑定，最后再在接口上应用流策略。在选择流策略的应用方向时，一定要注意，需求中是要对源自市场部和研发部的报文进行过滤，即对从接口6£1/0/0和接DGEl/O/l进入交换机的报文进行过滤，所以流策略的应用方向必须指定为入方向(inbound)o如果应用方向配置成了出方向(outbound),那就达不到过滤的效果了。小编提醒，上述案例我们还可以通过这样的配置来实现需求：在一条ACL中配置两条规则，在一个流分类中应用这条ACL,配置一个流行为动作为deny,最后创建并应用一个流策略。这样配置起来...