訪問(wèn)控制（ACL）通過(guò)數(shù)據(jù)包的源IP地址、目的IP地址、源MAC地址、目的MAC地址、協(xié)議、VLAN ID以及生效時(shí)間等來(lái)控制交換機(jī)上主機(jī)互相訪問(wèn)的權(quán)限，并可以通過(guò)建立Policy，將ACL和流鏡像、流監(jiān)控、Qos Remarking、端口重定向等動(dòng)作組合起來(lái)，組成一個(gè)訪問(wèn)控制策略，對(duì)符合相應(yīng)ACL規(guī)則的數(shù)據(jù)包進(jìn)行控制。

1、ACL訪問(wèn)控制默認(rèn)策略為“允許”，即“不符合規(guī)則的允許通過(guò)”。

2、源地址和目的地址均需采用“MAC+掩碼”或者“IP+掩碼”的方式表示。設(shè)置時(shí)需要將MAC地址段轉(zhuǎn)換為“MAC地址+掩碼”方式，IP地址段轉(zhuǎn)換為“IP地址+掩碼”方式，單個(gè)MAC地址掩碼為FF-FF-FF-FF-FF-FF，單個(gè)IP掩碼為255.255.255.255。

3、一個(gè)訪問(wèn)控制列表下可以建立多條訪問(wèn)控制規(guī)則，以規(guī)則ID區(qū)分。

例：工作時(shí)間（工作日08：30-18：00）內(nèi)，局域網(wǎng)主機(jī)A僅禁止訪問(wèn)外網(wǎng)，主機(jī)段B僅允許訪問(wèn)內(nèi)網(wǎng)服務(wù)器1，前端路由器LAN口為Z。

【分析】：主機(jī)A禁止發(fā)送數(shù)據(jù)到路由器接口Z，主機(jī)段B允許發(fā)送數(shù)據(jù)到服務(wù)器1，禁止其他數(shù)據(jù)通過(guò)。可分為MAC ACL和IP ACL兩種實(shí)現(xiàn)方式。

【設(shè)置】：

1、 新建時(shí)間段。先添加時(shí)間片段8：30-18：00，之后選好周期：周一至周五，填寫名稱，然后提交即可新建工作時(shí)間段。可以在時(shí)間段列表中查看結(jié)果。

2、新建ACL。ACL有MAC ACL和標(biāo)準(zhǔn)IP ACL以及擴(kuò)展IP ACL三種方式。本列已MACACL和標(biāo)準(zhǔn)IP ACL進(jìn)行操作，擴(kuò)展IP ACL只是比標(biāo)準(zhǔn)IP ACL多了一些協(xié)議上的控制。新建MAC ACL ID:0或標(biāo)準(zhǔn)IP ACL ID:100.

3、設(shè)置ACL條目。下面對(duì)主機(jī)A以MAC ACL條目設(shè)置；對(duì)主機(jī)段B以標(biāo)準(zhǔn)IP ACL條目進(jìn)行設(shè)置。

①MAC ACL。添加條目：丟棄主機(jī)A發(fā)送到路由器接口Z的數(shù)據(jù)。

添加完后可以在ACL列表中選擇相應(yīng)ACL進(jìn)行查看。

②標(biāo)準(zhǔn)IP ACL。要添加條目：允許主機(jī)段C發(fā)送到內(nèi)網(wǎng)服務(wù)器1的數(shù)據(jù)，丟棄其他數(shù)據(jù)。

添加完后可以在ACL列表中選擇相應(yīng)ACL進(jìn)行查看。

此時(shí)ACL條目已配置完成。但此時(shí)ACL并不生效，必須要將ACL與相應(yīng)Policy關(guān)聯(lián)起來(lái)，并綁定到對(duì)應(yīng)的端口才會(huì)生效。

4、創(chuàng)建Policy。分別創(chuàng)建“Policy0”和“Policy100”。填入Policy名稱后提交即可。

5、配置Policy。選擇剛才創(chuàng)建的Policy0和之前建立的ACL0，提交。

選擇剛才創(chuàng)建的Policy100和之前建立的ACL100，提交。

6、端口綁定。將配置好的Policy綁定到相應(yīng)的端口，本例中主機(jī)A在1端口，主機(jī)段B在2-10端口，綁定后ACL將會(huì)在對(duì)應(yīng)的端口上生效。

綁定好之后如下圖：

通過(guò)以上設(shè)置可以滿足用戶需求。