一、名词解释

访问控制列表（Access Control list, ACL) 是路由器和交换机接口的指令列表，用来控制端口进出的数据包，ACL适用于所有的被路由协议，

如IP、IPX、AppleTak等。简而言之，ACL可以过滤网络中的流量，是控制访问的一种网络技术手段。

配置ACL后，可以限制网络流量，允许特定设备访问，指定转发特定端口数据包等。

来自百度百科：http://baike.baidu.com/view/18596.htm?fr=aladdin

 

二、如何使用

 

【协议栈】：支持选择IPV4或IPV6，在爱快路由3.7.0及以上版本支持。

【协议】：这条ACL规则所走的协议的类型。

【动作】：允许或阻断；

【方向】： 进或转发；

 [进]：内网或外网进路由。

 [转发]：路由接收到内网或外网数据然后把数据进行转发动作。

【原始方向】：匹配主动发起方发起访问时的报文。

【应答方向】：匹配被访问方应答时的报文。

【源地址】：转发与进动作的起始地址，支持选择IPv6  MAC分组（3.7.7版本及以上支持）。地址填写IPV6地址的MAC时，阻断访问可以生效，允许访问暂不生效。

【目的地址】：转发与进动作的结束地址，支持选择IPv6  MAC分组（3.7.7版本及以上支持）。地址填写IPV6地址的MAC时，阻断访问可以生效，允许访问暂不生效。

【IPv6后缀匹配】：针对IPV6地址，填写固定后缀防止设备在重新获取IPv6地址后ACL规则失效。
示例：
IPv6地址：240e:1234:xxxx:xxxx:xxxx:AAAA
IPv6后缀匹配填写：240e:1234:xxxx:xxxx:xxxx:AAAA/::AAAA，代表:AAAA前面地址可以任意变动，只需匹配:AAAA即可使规则生效。

注意事项：

目的地址可以不填写，表示所有。

【源端口】：允许或阻断的起始端口。

【目的端口】：特定目标的端口。

【进接口】：数据来源口。

【出接口】：目的出口。

 注意事项：同网段的数据不会经过路由转发，不受ACL规则控制！

 

ACL规则如何实现单向访问控制视频教程：https://v.ikuai8.com/?id=33

 

 

 

三、举例

案例一：可以阻断某个端口。

例：阻断192.168.15.2这个IP访问80端口。

 

这样设置的情况下，实现的效果是：192.168.15.2这个地址，访问80端口都被阻断。

注意事项：

目的端口与源端口可以不填写。

协议必须要选择，才可以添加端口

 

案例二、可以阻断某个IP上网

案例三、可以只让某一或某一段，只走一个WAN口

线路环境有两条，接入wan口分别为wan1与wan2,192.168.15.2只允许走wan2，可使用端口分流与acl来实现

1.端口分流192.168.15.2指定走wan2。

 2.通过acl阻断192.168.15.2走wan1的流量。

   

注意事项：

冲突时允许的优先级高于阻断的优先级。

 

案例四、

可通过ACL阻断lan口网段与扩展IP之间的访问

1.lan：192.168.200.1/24

 扩展IP：192.167.200.1/24

2.ACL阻断两个网段的访问，具体设置如下图

注：源地址为lan或者扩展IP的网段其中的一个网段，目的地址为另一个网段。

案例五、

阻断某个lan口下的全部IP上网，只允许特定IP上网

1.阻断所有客户端上网。

2.只允许192.168.200.101上网

 

 案例六、只允许部分IP可以访问内网。

（1）第一条：阻断所有IP访问路由器内网IP或IP段

（2）第二条：允许部分IP访问路由器内网IP或IP段

 

 

 

 案例七、不允许某个内网IP地址访问外网，只允许访问某个特定的外网IP

1、阻断内网10.0.0.2访问外网

 

2、允许访问特定外网IP：192.168.50.100