訪問控制（ACL）通過數據包的源IP地址、目的IP地址、源MAC地址、目的MAC地址、協議、VLAN ID以及生效時間等來控制交換機上主機互相訪問的權限，并可以通過建立Policy，將ACL和流鏡像、流監控、Qos Remarking、端口重定向等動作組合起來，組成一個訪問控制策略，對符合相應ACL規則的數據包進行控制。

1、ACL訪問控制默認策略為“允許”，即“不符合規則的允許通過”。

2、源地址和目的地址均需采用“MAC+掩碼”或者“IP+掩碼”的方式表示。設置時需要將MAC地址段轉換為“MAC地址+掩碼”方式，IP地址段轉換為“IP地址+掩碼”方式，單個MAC地址掩碼為FF-FF-FF-FF-FF-FF，單個IP掩碼為255.255.255.255。

3、一個訪問控制列表下可以建立多條訪問控制規則，以規則ID區分。

例：工作時間（工作日08：30-18：00）內，局域網主機A僅禁止訪問外網，主機段B僅允許訪問內網服務器1，前端路由器LAN口為Z。

【分析】：主機A禁止發送數據到路由器接口Z，主機段B允許發送數據到服務器1，禁止其他數據通過。可分為MAC ACL和IP ACL兩種實現方式。

【設置】：

1、 新建時間段。先添加時間片段8：30-18：00，之后選好周期：周一至周五，填寫名稱，然后提交即可新建工作時間段。可以在時間段列表中查看結果。

2、新建ACL。ACL有MAC ACL和標準IP ACL以及擴展IP ACL三種方式。本列已MACACL和標準IP ACL進行操作，擴展IP ACL只是比標準IP ACL多了一些協議上的控制。新建MAC ACL ID:0或標準IP ACL ID:100.

3、設置ACL條目。下面對主機A以MAC ACL條目設置；對主機段B以標準IP ACL條目進行設置。

①MAC ACL。添加條目：丟棄主機A發送到路由器接口Z的數據。

添加完后可以在ACL列表中選擇相應ACL進行查看。

②標準IP ACL。要添加條目：允許主機段C發送到內網服務器1的數據，丟棄其他數據。

添加完后可以在ACL列表中選擇相應ACL進行查看。

此時ACL條目已配置完成。但此時ACL并不生效，必須要將ACL與相應Policy關聯起來，并綁定到對應的端口才會生效。

4、創建Policy。分別創建“Policy0”和“Policy100”。填入Policy名稱后提交即可。

5、配置Policy。選擇剛才創建的Policy0和之前建立的ACL0，提交。

選擇剛才創建的Policy100和之前建立的ACL100，提交。

6、端口綁定。將配置好的Policy綁定到相應的端口，本例中主機A在1端口，主機段B在2-10端口，綁定后ACL將會在對應的端口上生效。

綁定好之后如下圖：

通過以上設置可以滿足用戶需求。