华为NE路由器: ACL应用于Telnet(VTY)、SNMP、FTP、TFTP (绑定vpn实例vpn-instance)

华为NE路由器: ACL应用于Telnet(VTY)、SNMP、FTP、TFTP (绑定vpn实例vpn-instance)
处理流程
Telnet、SNMP、FTP或TFTP登录时：
如果登录用户的地址匹配上的ACL规则是permit，允许此用户登录设备。
如果登录用户的地址匹配上的ACL规则是deny，禁止此用户登录。
如果登录用户的地址匹不在ACL配置规则范围内，禁止此用户登录。
如果ACL不存在规则或是引用的ACL不存在，用户登录不受ACL的控制。

如果ACL没有匹配上任何规则，则FTP的默认行为是deny。

SNMP引用ACL时，若设备接收到团体名为空的报文，那么设备就会直接丢弃报文，记录团体字错误日志，且不进行ACL校验。只有团体名为非空时才会触发ACL校验。
图1 ACL处理流程图-Telnet(VTY)、SNMP、FTP、TFTP

Telnet(VTY)使用ACL举例
某IP承载网，为保障网络接入安全，要求在设备VTY里添加ACL权限，只允许下挂网管VPN内的网管服务器（IP地址为10.0.102.113）可以登录设备。
配置如下：
#
acl 2013 //创建基本ACL，列表号为2013。
rule 5 permit vpn-instance vpna source 10.0.102.113 0 //允许vpna内源IP 10.0.102.113登录。
rule 500 deny //阻止其他一切终端登录设备。
#
user-interface vty 0 4          
 acl 2013 inbound  //对用户界面VTY0~4 的呼入进行限制。
 authentication-mode aaa
 protocol inbound all
#
user-interface vty 5 14
 acl 2013 inbound  //对用户界面VTY5~14 的呼入进行限制。

如果是VPN业务内的地址访问设备，需要在ACL里增加VPN实例名。
Telnet(VTY)引用VTY下的ACL的前提条件是等待用户认证通过，如果TCP建连就需要引用ACL需要做相应配置：
如果VTY下的配置的登录类型为SSH登录，需要配置ssh server acl命令。
如果VTY下配置的登录类型是Telnet登录，需要配置telnet server acl命令。