一、组网需求

实现基于ACL的过滤

   WEB页面ACL配置注意要点：在配置ACL号时，由于web部分模块使用了特定的ACL号，例如：VPN模块使用了110和199，防ARP攻击使用了197，2397， VWAN使用了198，CLI下配置时应该避开使用这几个号码。特别是199号，禁止CLI下配置策略，否则会导致web页面VPN模块需要的ACE配置失败。

 

二、配置步骤

【安全/防攻击】-->【接口访问控制】

1、选择关联的ACL、应用接口、过滤方向in/out；

配置ACL

 2、选择是否为反射ACL，反射ACL的作用是如果匹配中ACL的流量属于应答流则不过滤；不开启反射ACL的话，则不论是主动的请求流还是被动的应答流都会被过滤；

CLI对应命令：Ruijie(config-if-GigabitEthernet 0/0)#ip access-group 1 in reflect   

勾上反射ACL，在命令下发时就会有reflect参数， EG的ACL 默认是非自反模式，若想实现外网接口配置了deny ip any any，内网用户还能上网，实现能出去就能进来的效果，就需要在内网口ACL 添加reflect参数； 如果外网接口没有配置ACL,内网接口调用的ACL不需要配置自反；                

 

三、查看结果

     生成表项