ACL的注意事项

 ACL只对数据进行抓取和匹配，ACl本身不对数据做拒绝和允许的操作，只有在接口方向上应用后才对数据进行拒绝或允许的操作。

ACl只在packetfilter包过滤时默认动作是允许，这个时候至少需要有一条deny规则，否则全都是允许的规则，所有的包即使不匹配自定义规则，也会匹配最后的默认规则允许。那么设置的允许规则没有意义，所以包过滤的acl规则都是拒绝。

ACl在nat应用，路由控制，流量控制时，默认动作是拒绝，这个时候至少有一条permit规则，否则全都是拒绝规则，所有的包即使不匹配自定义规则，也会匹配最后的默认规则允许。所以这些应用的acl规则都是允许。

华三设备ACL的默认动作
对于华三(H3C)设备而言，默认情况下访问控制列表(ACL)的行为取决于其应用场景。通常，在作为包过滤器使用时，即与traffic-filter配合应用的情况下，ACL最后隐含一条规则为“允许所有”的行为2。

然而需要注意的是，这并不意味着所有的场景下默认动作为允许。例如在其他配置环境下（如未特别指定或与其他特性组合），则可能遵循不同的默认处理逻辑，多数情况下的确是采用“拒绝所有”作为最终兜底规则来保障安全性。

因此具体到H3C设备上：

当ACL仅被定义而没有明确指出结尾规则，并且不是同traffic-filter关联部署，则倾向于执行隐式的“拒绝任何”操作。
若ACL与traffic-filter共同作用于接口进行流量筛选时，默认会有一个隐藏的“允许其余一切”规则存在。