H3C華三ACL包過濾配置知識(shí)要點(diǎn)，新手必看。

ACL包過濾

acl本身不對(duì)數(shù)據(jù)流做操作，只負(fù)責(zé)做匹配和篩選。

ACL+Packet-filter訪問控制（叫做基于ACL的包過濾）

ACL+Route-policy路由控制

ACL+QOS流量控制

一個(gè)接口的一個(gè)方向只能配置一個(gè)包過濾策略，華三設(shè)備包過濾時(shí)，默認(rèn)動(dòng)作為允許。用在其他的控制動(dòng)作時(shí)（例如流量控制）默認(rèn)是拒絕的。

注意事項(xiàng)：

如果默認(rèn)動(dòng)作是允許，至少需要一條拒絕規(guī)則如果默認(rèn)動(dòng)作是拒絕,至少需要一條允許規(guī)則

H3C的ACL用于包過濾默認(rèn)允許用于其他默認(rèn)拒絕把小范圍的規(guī)則分配一個(gè)靠前的順序在不影響實(shí)際效果前提下，把包過濾盡量配置在離源地址最近的接口的入方向（降低資源消耗，避免了查完表之后發(fā)現(xiàn)出不去）

基本ACL只對(duì)數(shù)據(jù)包的源地址進(jìn)行匹配（大范圍的過濾,2000-2999）

高級(jí)ACL對(duì)于數(shù)據(jù)包的五元組匹配（協(xié)議（IP、UDP、TCP、icmp，不知道寫啥就寫IP，在三層不論是什么協(xié)議，都是屬于IP），源IP、目的IP、源MAC、目的MAC，3000-3999）

基于二層的ACL（不作要求，4000-4999）

規(guī)則不加編號(hào)的話會(huì)以0、5、10以5的倍數(shù)加，避免中間加ACL時(shí)沒有空。