请详细阅读操作文档，结合实际情况进行配置：

        若操作不当将可能导致网络卡顿甚至断网等异常情况。

        若网络中存在业务的情况下，请同步客户风险并征得客户同意后再操作。

        若您不清楚造成的影响或对操作不熟练，请不要操作，请联系专业的锐捷售后工程师进行评估后再决定是否操作。

应用场景：    

       例如客户现场有个网段，但是并不需要这个网段的ip地址能够上网通讯，需要对该网段ip地址做一个相关的管控，这个时候我们可以通过ACL来实现禁止部分IP网段禁止上网    

功能简介：

        ACLs 的全称为接入控制列表(Access Control Lists)，也称为访问列表（Access Lists），俗称为防火墙，在有的文档中还称之为包过滤。ACLs 通过定义一些规则对网络设备接口上的数据报文进行控制：允许通过或丢弃。对数据流进行过滤可以限制网络中的通讯数据的类型，限制网络的使用者或使用的设备。安全ACLs 在数据流通过网络设备时对其进行分类过滤，并对从指定接口输入或者输出的数据流进行检查，根据匹配条件(Conditions)决定是允许其通过(Permit)还是丢弃(Deny)。

        ACLs 由一系列的表项组成，我们称之为接入控制列表表项(Access Control Entry：ACE)。每个接入控制列表表项都申明了满足该表项的匹配条件及行为。访问列表规则可以针对数据流的源目MAC、源目IP地址、TCP/UDP上层协议，时间区域等信息，通常分为如下几种类型的ACL：  IP标准ACL，IP扩展ACL，MAC扩展ACL，专家级Expert ACL，IPv6扩展ACL，报文的前80字节的ACL 80等。    

       ACL部署原则：    

ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而，网络能否有效地减少不必要的通信流量，这还要取决于网络管理员把ACL放置在哪个地方。

   

原则：根据减少不必要通信流量的通行准则，管理员应该尽可能地把ACL放置在靠近被拒绝的通信流量的来源处。

举个例子：我们经常见到对常见病毒端口进行过滤的ACL，那么这种ACL应用在哪里比较合适呢？

对于网络中的用户来说，这个防病毒端口的过滤显然用在最接近用户的交换机上来做比较好，这样可以从源头上控制被感染的机器采用病毒端口进行通讯，减少对其他交换机上用户带来的应用。

如果要控制外网进来的流量对服务器的端口访问过滤，那么这种限制就应该放在这个网络的出口处较好，这样可以将这种非法流量从一开始就拒之门外。当然如果内网也需要对服务器的端口访问进行过滤，那么由于内网的源IP很多，目的IP一致的情况下，在靠近目标IP的地方做ACL过滤，因为这样只需要一个ACL即可，否则你需要在很多设备上去分别部署，因为你要控制所有的源到这个目的IP的访问，影响效率。而如果你在接近服务器的交换机上部署ACL，那么你只需要一个ACL即可。

总结如下：

1、对常见的病毒端口过滤的ACL，一般部署在接入层交换机上。

2、对外提供公共服务器的服务器，一般建议在接近服务器的交换机上控制对其端口的访问。

3、对于网段间的互访，根据实际情况，可以选择在源或目的网段上做控制，也可以在网络较大的情况，网段互访规则较多的情况下，在中间核心设备上集中部署。

4、对于上下级机构、内外网访问规则间的访问控制，建议在边界设备上集中部署，比如出口路由器，防火墙等。

   

一、组网需求    

某公司里面有内部网vlan10，内部网不能访问互联网。

   

二、组网拓扑    

三、配置要点    

前提：该配置是在网络已经通了的情况做的配置，其他网络配置不一一举例，

1、配置ACL

2、在接口上调用

   

四、配置步骤

方法一（推荐）：在核心交换机上的上联接口调用ACL，使得该网段的主机无法通过交换机上联口

1、配置ACL

核心:

Ruijie>en      

Ruijie#config ter

Ruijie(config)#ip access-list extended 100

Ruijie(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 any----->禁止内部网访问因特网 

Ruijie(config-ext-nacl)#permit ip any any              ----->放通访问其他资源      

Ruijie(config-ext-nacl)#exit   

2、接口下调用

Ruijie(config)#interface g0/1

Ruijie(config-if-vlan 10)#ip access-group 100 out      ----->调用在核心所在的出接口out方向  

3、保存配置

Ruijie(config-if-vlan 20)#end      

Ruijie#write          -----> 确认配置正确，保存配置  

 

方法二（次推荐）：在出口设备上调用ACL，不让该网段数据经过出口设备放到外网

出口设备：

Ruijie>en      

Ruijie#config ter

Ruijie(config)#ip access-list extend 100

Ruijie(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 any----->禁止内部网访问因特网 

Ruijie(config-ext-nacl)#permit ip any any ----->放通访问其他资源   

Ruijie(config-ext-nacl)#exit

2、接口下调用

Ruijie(config)#interface g0/1  

Ruijie(config-if-vlan 10)#ip access-group 100 out      ----->调用在核心所在的出接口out方向  

 

3、保存配置

Ruijie(config-if-vlan 20)#end      

Ruijie#write          -----> 确认配置正确，保存配置  

方法三（不推荐）：出口设备不对该网段写回指路由，导致该网段无法通过出口设备到达外网

出口设备：

Ruijie>en     

Ruijie#show ip route-----> 查看路由表项，并没有回程路由

并没有回指到该网段的路由，则路由只出不回

五、配置验证。

查看设备的相应配置

1）查看acl的配置

Ruijie#show access-lists

ip access-list extended 100

  10 deny ip 192.168.10.0 0.0.0.255 any

  20 permit ip any any

2）查看acl在接口下的调用

Ruijie#show ip access-group

ip access-group 100 out

Applied On interface g0/1