ACL（访问控制列表）

　　ACL（访问控制列表），是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。

　　访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。

　　通常用于对设备进行一些保护，比如限定具体的IP访问或者端口保护。

　　一般情况下，2000-2999 基本的访问控制列表，只能匹配源IP地址。3000-3999 高级的访问控制列表，可以匹配源IP、目的IP、源端口、目的端口。

　　需要注意的是：1、一个接口的同一个方向，只能调用一个ACL；2、一个ACL的规则是从上向下依次执行的，如果被某个规则匹配后就不再继续向下匹配。

　　今天在H3C S3100上对一些网络设备进行了保护。

　　1、只能指定的IP进行访问，比如路由器、交换机、服务器或者关键设备。

　　创建ACL

acl number 2000
 rule 5 permit source x.y.z.m1 0
 rule 10 permit source x.y.z.m2 0
 rule 15 permit source x.y.z.m3 0
 rule 20 deny  

　　应用于telnet

 telnet server enable
 telnet server acl 2000

　　2、保护网络打印机，只能指定的IP可以打印。

　　定义ACL

acl basic 2019
 description ProtectNetworkPrint:x.y.z.k
 rule 5 permit source x.y.z.m1 0
 rule 10 permit source x.y.z.m2 0
 rule 15 deny

　　应用于端口

interface Ethernet1/0/15
 description NetworkPrint:x.y.z.k
 port access vlan 19
 packet-filter 2019 outbound

　　这个应用特别的多，很多单位不允许共享打印机的使用，解决办法有一些。比如可以买多端口的切换器，打印的时候需要手工去按一下，还是麻烦，并且在有的计算机上不行。也可以双网卡来做，也是麻烦，并且有的单位出于安全考虑是不允许双网卡的。

　　最快捷的方式就是使用ACL进行网络打印机的保护了，也就是进行上面的操作。

　　3、限制具体行为

　　例如：拒绝x1.y1.z1.m1对设备x2.y2.z2.m2进行telnet访问。

rule 5 deny tcp source x1.y1.z1.m1 0 destination x2.y2.z2.m2 0 destination-port eq telnet

　　例如：限制x1.y1.z1.m1上外网

rule 5 permit tcp source x1.y1.z1.m1 0 destination-port eq www

　　ACL还有很多应用，比如进行端口或者VLAN的流量控制等。