访问控制列表（ACL）允许您定义分类规则或建立标准，通过阻止未授权用户并允许授权用户访问特定区域或资源来保障网络安全。更具体地说，您的 Linksys 企业可管理交换机的 ACL 包含以下内容：

 

• ACL通过控制交换机端口的分组是转发还是被阻挡，为网络访问提供基本安全保障。
• ACL是过滤器，允许你根据数据包头部的特定内容分类数据包，比如源地址、目的地址、源端口号、目的端口号等。分组分类器用于识别更高效的处理流程。每个滤波器定义了必须匹配的条件才能被包含在该滤波器中。
• ACL为IP帧（基于协议、TCP/UDP端口号或帧类型）或第二层帧（基于任意目的MAC地址（单播、广播或多播，或基于VLAN ID或VLAN标签优先级）提供数据包过滤。
• ACL可以通过阻断不必要的网络流量来提升性能，或通过限制对特定网络资源或协议的访问来实现安全控制。策略可用于区分客户端端口、服务器端口、网络端口或访客端口的服务。它们还可以严格控制网络流量，仅允许与源MAC和源IP地址匹配的输入帧在特定端口上。
• ACL由访问控制条目（ACE）组成，ACE是决定流量分类的规则。每个ACE被视为单一规则，每个ACL最多可定义256条规则，全球最多可定义3000条规则。
• ACL用于提供流量控制、限制路由更新内容，以及确定哪些类型的流量被转发或阻挡。该标准可以基于MAC地址或IP地址来指定。

要配置Linksys企业可管理交换机的访问控制设置，请按照以下步骤作：

 

MAC ACL
本页显示当前定义的基于MAC的ACL配置文件。

 

• Index: 这是配置文件标识符。
• Name: 输入基于MAC的ACL名称。最多可以使用32个字母数字字符。

要添加新的ACL，点击添加并输入新ACL的名称。点击应用以接受更改，或取消以中止流程。

MAC ACE
 

使用此页面查看并添加基于MAC的ACE规则。

 

• ACL Name: 从列表中选择ACL。
• Sequence: 输入序列号，表示指定ACL相对于分配给所选接口的其他ACL的顺序。有效范围为1到2147483647（首先处理1）。
• Action: 如果数据包符合条件，选择该动作。
  • Permit - 转发符合ACL标准的数据包
  • Deny - 丢弃不符合ACL标准的数据包
• Destination MAC: 输入目的MAC地址。
• Destination MAC Mask: 输入目的MAC掩码。
• Source MAC: 输入源MAC地址。
• Source MAC Mask: 输入源MAC掩码。
• VLAN ID: 在 MAC ACE 中输入 MAC 地址所附加的 VLAN ID。范围从1到4094。
• 802.1p Value: 输入802.1便士的价值。范围是0到7。
• Ethertype Value (Hex): 选择此选项指示交换机检查每个帧头部中的以太网类型值。该选项只能用于过滤以太网 II 格式的数据包。以太网协议类型的详细列表可在RFC 1060中找到。一些较常见的类型包括0800（IP）、0806（ARP）和8137（IPX）。

IPv4 ACL
 

本页显示当前定义的基于 IPv4 的 ACL 配置文件。

• Index: 显示当前ACL数量。
• Name: 输入基于IP的ACL名称。最多可以使用32个字母数字字符。

要添加新的ACL，点击添加并输入新ACL的名称。点击应用以接受更改，或取消以中止流程。

IPv4 ACE
 

使用此页面查看并添加基于IPv4的ACE规则。

• ACL Name: 从创建规则的列表中选择 ACL。
• Sequence: 输入序列号，表示指定ACL相对于分配给所选接口的其他ACL的顺序。有效范围为1到2147483647（首先处理1）。
• Action: 如果数据包符合条件，选择采取的行动。
  • Permit - 转发符合ACL标准的数据包
  • Deny - 丢弃符合ACL标准的数据包
• Protocol: 在下拉菜单中选择任意、协议 ID 或从列表中选择。
• Destination IP: 输入目的IP地址或选择任意。
• Destination IP Mask: 输入目的IP掩码。
• Destination Port Range: 输入目的地港口范围。
• Source IP: 输入源IP地址或选择任意。
• Source IP Mask: 输入源IP掩码。
• Source Port Range: 输入源端口范围。
• Flag Set: 选择一个TCP标志。
  • URG（紧急）、ACK（确认）、PS（推送）、RST（重置）、SYN（同步）或 FIN（收尾）
  • Don't Care - ACE不处理TCP控制标志。
  • Set - 设置TCP  控制标志的数据包符合条件。
  • Unset - TCP控制标志未设置的数据包符合条件。
• Actions: 选择拒绝或允许。

IPv6 ACL
 

本页显示当前定义的基于 IPv6 的 ACL 配置文件。

• Index: 显示当前ACL数量。
• Name: 输入基于IPv6的ACL名称。最多可以使用32个字母数字字符。

要添加新的ACL，点击添加并输入新ACL的名称。点击应用以接受更改，或取消以中止流程。

IPv6 ACE
 

 允许在配置好的 ACL 内定义基于 IPv6的访问控制条目（ACE）。

 

• ACL Name: 从列表中选择ACL。
• Sequence: 输入序列号，表示指定ACL相对于分配给所选接口的其他ACL的顺序。有效范围为1到2147483647（首先处理1）。
• Action: 如果数据包符合条件，选择采取的行动。
  • Permit - 转发符合ACL标准的数据包
  • Deny - 丢弃符合ACL标准的数据包
• Protocol: 从下拉菜单中选择任意、协议 ID 或从列表中选择。
• Destination IP: 输入目的IP地址。
• Destination IP Prefix Length: 输入目的IP前缀长度。
• Destination Port Range: 输入目的地港口范围。
• Source IP: 输入源IP地址。
• Source IP Prefix Length: 输入源IP前缀长度。
• Source Port Range: 输入源端口范围。
• Flag Set: 选择一个TCP标志。
  • URG（紧急）、ACK（确认）、PS（推送）、RST（重置）、SYN（同步）或 FIN（收尾）
  • Don't Care - ACE不处理TCP控制标志。
  • Set - 设置TCP  控制标志的数据包符合条件。
  • Unset - TCP控制标志未设置的数据包符合条件。
• DSCP
• ICMP: 从列表中选择ICMP类型。
• ICMP Code: 输入0-255。
• Actions: 选择拒绝或允许。

端口绑定
 

当ACL绑定到接口时，所有为该ACL定义的规则都会应用到该接口上。每当在端口或LAG上分配ACL时，来自该入口或出口接口且与ACL不匹配的流量会匹配到默认丢弃未匹配数据包的规则。

 

• Port: 选择ACL绑定的端口。
• MAC ACL: 选择将MAC ACL规则应用于端口。
• IPv4 ACL: 选择适用于该端口的 IPv4 ACL 规则。
• IPv6 ACL: 选择适用于该端口的 IPv6 ACL 规则。

要绑定ACL到接口，只需选择一个接口，在顶行选择你想绑定的ACL/s，然后点击底部的应用以保存你的设置。