訪問控制（ACL）通過數(shù)據(jù)包的源IP地址、目的IP地址、源MAC地址、目的MAC地址、協(xié)議、VLAN ID以及生效時間等來控制交換機上主機互相訪問的權(quán)限，并可以通過建立Policy，將ACL和流鏡像、流監(jiān)控、Qos Remarking、端口重定向等動作組合起來，組成一個訪問控制策略，對符合相應(yīng)ACL規(guī)則的數(shù)據(jù)包進行控制。

1、ACL訪問控制默認(rèn)策略為“允許”，即“不符合規(guī)則的允許通過”。

2、源地址和目的地址均需采用“MAC+掩碼”或者“IP+掩碼”的方式表示。設(shè)置時需要將MAC地址段轉(zhuǎn)換為“MAC地址+掩碼”方式，IP地址段轉(zhuǎn)換為“IP地址+掩碼”方式，單個MAC地址掩碼為FF-FF-FF-FF-FF-FF，單個IP掩碼為255.255.255.255。

3、一個訪問控制列表下可以建立多條訪問控制規(guī)則，以規(guī)則ID區(qū)分。

例：工作時間（工作日08：30-18：00）內(nèi)，局域網(wǎng)主機A僅禁止訪問外網(wǎng)，主機段B僅允許訪問內(nèi)網(wǎng)服務(wù)器1，前端路由器LAN口為Z。

【分析】：主機A禁止發(fā)送數(shù)據(jù)到路由器接口Z，主機段B允許發(fā)送數(shù)據(jù)到服務(wù)器1，禁止其他數(shù)據(jù)通過。可分為MAC ACL和IP ACL兩種實現(xiàn)方式。

【設(shè)置】：

1、 新建時間段。先添加時間片段8：30-18：00，之后選好周期：周一至周五，填寫名稱，然后提交即可新建工作時間段。可以在時間段列表中查看結(jié)果。

2、新建ACL。ACL有MAC ACL和標(biāo)準(zhǔn)IP ACL以及擴展IP ACL三種方式。本列已MACACL和標(biāo)準(zhǔn)IP ACL進行操作，擴展IP ACL只是比標(biāo)準(zhǔn)IP ACL多了一些協(xié)議上的控制。新建MAC ACL ID:0或標(biāo)準(zhǔn)IP ACL ID:100.

3、設(shè)置ACL條目。下面對主機A以MAC ACL條目設(shè)置；對主機段B以標(biāo)準(zhǔn)IP ACL條目進行設(shè)置。

①MAC ACL。添加條目：丟棄主機A發(fā)送到路由器接口Z的數(shù)據(jù)。

添加完后可以在ACL列表中選擇相應(yīng)ACL進行查看。

②標(biāo)準(zhǔn)IP ACL。要添加條目：允許主機段C發(fā)送到內(nèi)網(wǎng)服務(wù)器1的數(shù)據(jù)，丟棄其他數(shù)據(jù)。

添加完后可以在ACL列表中選擇相應(yīng)ACL進行查看。

此時ACL條目已配置完成。但此時ACL并不生效，必須要將ACL與相應(yīng)Policy關(guān)聯(lián)起來，并綁定到對應(yīng)的端口才會生效。

4、創(chuàng)建Policy。分別創(chuàng)建“Policy0”和“Policy100”。填入Policy名稱后提交即可。

5、配置Policy。選擇剛才創(chuàng)建的Policy0和之前建立的ACL0，提交。

選擇剛才創(chuàng)建的Policy100和之前建立的ACL100，提交。

6、端口綁定。將配置好的Policy綁定到相應(yīng)的端口，本例中主機A在1端口，主機段B在2-10端口，綁定后ACL將會在對應(yīng)的端口上生效。

綁定好之后如下圖：

通過以上設(shè)置可以滿足用戶需求。