訪問控制清單（ACL）允許您定義分類規則或建立標準，通過阻止未授權使用者並允許授權使用者訪問特定區域或資源來保障網路安全。 更具體地說，您的 Linksys 企業可管理交換機的 ACL 包含以下內容：

 

• ACL通過控制交換機端口的分組是轉發還是被阻擋，為網路訪問提供基本安全保障。
• ACL是過濾器，允許你根據數據包頭部的特定內容分類數據包，比如源位址、目的位址、源端口號、目的端口號等。 分組分類器用於識別更高效的處理流程。 每個濾波器定義了必須匹配的條件才能被包含在該濾波器中。
• ACL為IP幀（基於協定、TCP/UDP端口號或幀類型）或第二層幀（基於任意目的MAC位址（單播、廣播或多播，或基於VLAN ID或VLAN標籤優先順序）提供數據包過濾。
• ACL可以通過阻斷不必要的網路流量來提升性能，或通過限制對特定網路資源或協定的訪問來實現安全控制。 策略可用於區分用戶端端口、伺服器端口、網路端口或訪客端口的服務。 它們還可以嚴格控制網路流量，僅允許與源MAC和源IP位址匹配的輸入幀在特定端口上。
• ACL由訪問控制條目（ACE）組成，ACE是決定流量分類的規則。 每個ACE被視為單一規則，每個ACL最多可定義256條規則，全球最多可定義3000條規則。
• ACL用於提供流量控制、限制路由更新內容，以及確定哪些類型的流量被轉發或阻擋。 該標準可以基於MAC位址或IP位址來指定。

要配置Linksys企業可管理交換機的訪問控制設置，請按照以下步驟作：

 

MAC ACL
 

本頁顯示當前定義的基於MAC的ACL配置文件。 

 

• Index: 這是配置文件標識碼。 
• Name: 輸入基於MAC的ACL名稱。 最多可以使用32個字母數位字元。 

要添加新的ACL，點擊添加並輸入新ACL的名稱。 點擊應用以接受更改，或取消以中止流程。 

MAC ACE
 

使用此頁面查看並添加基於MAC的ACE規則。 

 

• ACL Name: 從清單中選擇ACL。 
• Sequence: 輸入序列號，表示指定ACL相對於分配給所選端口的其他ACL的順序。 有效範圍為1到2147483647（首先處理1）。 
• Action: 如果數據包符合條件，選擇該動作。 
  • Permit - 轉發符合ACL標準的數據包
  • Deny - 丟棄不符合ACL標準的數據包
• Destination MAC: 輸入目的MAC位址。 
• Destination MAC Mask: 輸入目的MAC掩碼。
• Source MAC: 輸入源MAC位址。
• Source MAC Mask: 輸入源MAC掩碼。
• VLAN ID: 在 MAC ACE 中輸入 MAC 位址所附加的 VLAN ID。 範圍從1到4094。 
• 802.1p Value: 輸入802.1便士的價值。 範圍是0到7。 
• Ethertype Value (Hex): 選擇此選項指示交換機檢查每個幀頭部中的乙太網類型值。 該選項只能用於過濾乙太網 II 格式的數據包。 乙太網協定類型的詳細清單可在RFC 1060中找到。 一些較常見的類型包括0800（IP）、0806（ARP）和8137（IPX）。 

IPv4 ACL
 

本頁顯示當前定義的基於 IPv4 的 ACL 配置文件。 

• Index: 顯示當前ACL數量。 
• Name: 輸入基於IP的ACL名稱。 最多可以使用32個字母數位字元。 

要添加新的ACL，點擊添加並輸入新ACL的名稱。 點擊應用以接受更改，或取消以中止流程。

IPv4 ACE
 

使用此頁面查看並添加基於IPv4的ACE規則。 

• ACL Name: 從創建規則的清單中選擇 ACL。 
• Sequence: 輸入序列號，表示指定ACL相對於分配給所選端口的其他ACL的順序。 有效範圍為1到2147483647（首先處理1）。 
• Action: 如果數據包符合條件，選擇採取的行動。 
  • Permit - 轉發符合ACL標準的數據包
  • Deny - 丟棄符合ACL標準的數據包
• Protocol: 在下拉功能表中選擇任意、協定 ID 或從清單中選擇。 
• Destination IP: 輸入目的IP位址或選擇任意。 
• Destination IP Mask: 輸入目的IP掩碼。 
• Destination Port Range: 輸入目的地港口範圍。 
• Source IP: 輸入源IP位址或選擇任意。 
• Source IP Mask: 輸入源IP掩碼。
• Source Port Range: 輸入源端口範圍。 
• Flag Set: 選擇一個TCP標誌。 
  • URG（緊急）、ACK（確認）、PS（推送）、RST（重置）、SYN（同步）或 FIN（收尾）
  • Don't Care - ACE不處理TCP控制標誌。
  • Set - 設置TCP 控制標誌的數據包符合條件。 
  • Unset - TCP控制標誌未設置的數據包符合條件。 
• Actions: 選擇拒絕或允許。 

IPv6 ACL
 

本頁顯示當前定義的基於 IPv6 的 ACL 配置文件。 

• Index: 顯示當前ACL數量。 
• Name: 輸入基於IPv6的ACL名稱。 最多可以使用32個字母數位字元。 

要添加新的ACL，點擊添加並輸入新ACL的名稱。 點擊應用以接受更改，或取消以中止流程。

IPv6 ACE
 

允許在配置好的 ACL 內定義基於 IPv6的訪問控制條目（ACE）。 

 

• ACL Name: 從清單中選擇ACL。 
• Sequence: 輸入序列號，表示指定ACL相對於分配給所選端口的其他ACL的順序。 有效範圍為1到2147483647（首先處理1）。 
• Action: 如果數據包符合條件，選擇採取的行動。 
  • Permit - 轉發符合ACL標準的數據包
  • Deny - 丟棄符合ACL標準的數據包
• Protocol: 從下拉功能表中選擇任意、協定 ID 或從清單中選擇。 
• Destination IP: 輸入目的IP位址。 
• Destination IP Prefix Length: 輸入目的IP前綴長度。
• Destination Port Range: 輸入目的地港口範圍。 
• Source IP: 輸入源IP位址。 
• Source IP Prefix Length: 輸入源IP前綴長度。 
• Source Port Range: 輸入源端口範圍。 
• Flag Set: 選擇一個TCP標誌。 
  • URG（緊急）、ACK（確認）、PS（推送）、RST（重置）、SYN（同步）或 FIN（收尾）
  • Don't Care - ACE不處理TCP控制標誌。 
  • Set -  設置TCP 控制標誌的數據包符合條件。
  • Unset - TCP控制標誌未設置的數據包符合條件。 
• DSCP
• ICMP: 從清單中選擇ICMP類型。
• ICMP Code: 輸入0-255。
• Actions: 選擇拒絕或允許。 

端口綁定

當ACL綁定到端口時，所有為該ACL定義的規則都會應用到該端口上。 每當在端口或LAG上分配ACL時，來自該入口或出口端口且與ACL不匹配的流量會匹配到默認丟棄未匹配數據包的規則。 

 

• Port: 選擇ACL綁定的端口。
• MAC ACL: 選擇將MAC ACL規則應用於端口。
• IPv4 ACL: 選擇適用於該端口的 IPv4 ACL 規則。
• IPv6 ACL: 選擇適用於該端口的 IPv6 ACL 規則。

要綁定ACL到端口，只需選擇一個端口，在頂行選擇你想綁定的ACL/s，然後點擊底部的應用以保存你的設置。