据运维同事反馈，华为NE40的黑名单在实际配置中没有生效。恰巧，公司近日又购置了一批NE40设备。因此，黑名单这个功能和一些需要测试的功能一同测试了下。

黑名单

配置黑名单，将不安全的报文依据ACL规则加入到黑名单中，以便后续对其提供较小的带宽。

如果用户认为某些IP的报文不应该被上送到CPU，或者认定某些报文是非法报文，可以通过设置ACL规则将其加入到黑名单中，将之丢弃。黑名单中的用户都需要手动配置，没有缺省用户。

基础配置

1、配置黑名单

2、调用策略

测试过程

1、ping测试

测试过程中发现，无论是否调用cpu-defend-policy，都能ping通。

查阅文档，发现板卡自带icmp快回功能，也就是说板卡处理了icmp请求，没有提交cpu处理，因此，测试结果都是ping通的。

板卡下关闭icmp快回功能后，再次测试，无法正常ping通。

2、telnet测试

使用telnet测试，调用黑名单后，效果如下图所示。

关闭tcpsyn-flood，重新调用，效果如下图所示。

查看tcp session，如下图所示。

此时抓包发现已经建立了三次握手，且在不断的TCP重传。

取消黑名单策略，能够正常访问了。

查看tcp session，如下图所示。

猜测是板卡处理三次握手，之后提交cpu处理。由于黑名单，板卡不上传cpu处理，cpu不知道已经建立了连接，所以tcp status看不见。也就是说，其实设备已经和目标建立了TCP连接，只是我们看不到。

全局策略

和普通的CBQ一样，不同的是，全局CBQ能够作用在设备所有的接口上。

配置过程

测试结果

测试时，发现无论是否开启icmp快回，都无法ping通。这是因为策略是下发到板卡的，转发平面已经处理完了。

总结：通过以上测试，我们可以发现全局策略的方式在访问控制方面比黑名单更彻底，也更安全。因为全局策略作用在转发平面，而黑名单作用在转发平面上传控制平面的时候。