这个部分描述访问控制列表（ACLs）的特性。

概述

访问控制列表可以控制进入网络的流量。通常ACLs设置在一个防火墙路由器或连接两个内部网络的路由器。当你配置ACLs，你可以选择地允许或拒绝进来的流量，从而控制对你的网络或在网络上特定资源的访问。

你可以设置ACLs来控制在第二或第三层的流量。MAC ACLs用于第二层，IP ACLs用于第三层。

每个ACL包含一套应用于进来流量的规则。每条规则用于指定特定域的内容是否允许或拒绝访问网络，并且应用到数据包的一个或多个域中。

限制

ACLs的应用存在以下的限制。这些限制由不同的平台来决定。

• 最多100条ACLs
• 每条ACL最多9－23条规则
• 堆叠系统不支持重定向

系统在相同的端口上不支持MAC ACLs和IP ACLs。

系统只支持为进来的数据流量设定ACLs。

MAC ACLs是第二层的ACLs。你可以配置规则来检查一个数据包的以下域（平台限制）：

• 源MAC地址和掩码
• 目标MAC地址和掩码
• VLAN ID（或IDs范围）
• 服务类型（CoS）（802.1p）
• Ethertype
• L2 ACLs可应用到一个或多个接口
• 多个访问列表可应用到单一个接口——序号决定执行的顺序
• 不能在同一个接口上配置MAC ACL和IP ACL
• 使数据包根据指定的队列选项来排队
• 使用重定向选项来重定向数据包

IP ACL归类为第三层。

每个ACL是一套应用于进来数据流量的规则。每条规则用于指定给定域的数据内容是否允许或拒绝访问网络，并且在一个数据包上应用于一个或多个域：

• 源IP地址
• 目标IP地址
• 源四层端口
• 目标四层端口
• ToS字节
• 协议号

注意规则的顺序是很重要的：当一个数据包与多条规则匹配，第一条规则优先处理。同样地，一旦定义对于给定端口的ACL，所有没有由ACL指定允许的数据流量将会被拒绝访问。

配置ACL遵循以下步骤：

• 通过指定一个名称（MAC ACL）或一个号码（IP ACL）来创建ACL
• 增加新的规则到ACL
• 为规则制定匹配的标准
• 应用ACL到一个或多个接口

在这个部分的文本展示了如何设置具有两条规则的IP ACL，一个应用到TCP流量，另外一个应用到UDP流量。这两条规则的内容是一样的。如果源和目的站点和定义的规则中的IP地址一样，则TCP和UDP的数据包将允许通过7000系列全网管交换机。

下面是在7000系列交换机上配置ACL的示例：

MAC ACL命令行界面示例

下面是用于配置MAC ACL的命令行界面示例。

示例#1：mac access list

示例#2：permit any

示例#3：配置mac access-group

示例#4：permit

示例#5：show mac access-lists

我有NETGEAR WS-C35的问题要问