s3550-软件配置指南配置安全acls.pdf

: .
-2：

携带危险物品者->拒绝过境
B 国持旅游护照到 D 国人员->允许过境
C 国持留学护照到 E 国留学人员->允许过境
其它所有人员->拒绝过境

图 17-2：A 国的海关过境规则

A 国的每个海关均有四个出关通道，每个出关通道每天均有出关人数限制。因此 A 国在入境时还根据
不同人员的身份进行分类，以便出关时给予不同的待遇。如图 17-3：

B 国持旅游护照的老年人
B 国持旅游护照妇女　
C 国路经本国到 D 国留学人员　
其它人员

图 17-3：A 国的入境身份识别规则

在上面所举的例子中：A 国就相当于交换机，其四个海关相当于交换机的四个接口，该国的<海关入
境规则>就是安全 ACL，其<入境身份识别规则>就是 QoS ACL。

<海关入境规则>的每一条细则就是 ACE，而每一条细则的身份识别条件就是 ACE 的匹配条件，拒绝过
境和允许过境两种待遇就相当于 ACE 的行为：permit、deny。在图一中：<海关入境规则>的第一条细则为：携带危险物品者->拒绝过境。这里“携带危险物品者”就相当于 ACE 的匹配条件，而“拒
绝过境”就是行为(deny)，相应的，第二条细则的“B 国持旅游护照到 D 国人员”是匹配条件，“允
许入境”为行为(permit)。

同理，图二的<入境身份识别规则>也是 ACL，其每一条细则也是 ACE，由于是对已入境人员的限制，
因此其每一条细则隐含的待遇均是：允许过境，相应的 QoS ACL 也要求其 ACE 的行为为 permit。在
S3550 系列交换机中，您不能在 QoS ACL 中定义一个行为为 deny 的 ACE。

在上面的所举的例子中，A 国还可以根据邻国的友好程度制定不同的海关过境规则分别适用于不同的
海关。如，A 国与 E 国为兄弟国家，特为其制定<针对兄弟国家 E 的海关过境规则>。。。，这样<海关过
境规则>只适用于海关 1－3，而<针对兄弟国家 E 的海关过境规则>只适用于海关 4。同理，对于您也
可以针对不同的接口，定义不同的 ACL。
理解输入 ACL、输出 ACL

在上面所举的例子中，A 国的<海关过境规则>只在入关时检查入关人员的身份，而 A 国如果想加强其
海关安全，则 A 国还可以在所有人员出关时检查出关人员的身份。或者 A 国在入关时不检查入关人
员的身份，但在出关时检查出关人员的身份。

输入 ACL，类似于在入关时检查的<海关过境规则>，它在交换机接口接收到报文时，检查报文是否与
该接口输入 ACL 的的某一条 ACE 相匹配，而输出 ACL 类似于在出关时检查的<海关过境规则>，它在
交换机准备从某一个接口输出报文时，检查报文是否与该接口输出 ACL 的某一条 ACE 相匹配。