H3C華三ACL包過濾配置知識要點，新手必看。

ACL包過濾

acl本身不對數(shù)據(jù)流做操作，只負責做匹配和篩選。

ACL+Packet-filter訪問控制（叫做基于ACL的包過濾）

ACL+Route-policy路由控制

ACL+QOS流量控制

一個接口的一個方向只能配置一個包過濾策略，華三設(shè)備包過濾時，默認動作為允許。用在其他的控制動作時（例如流量控制）默認是拒絕的。

注意事項：

如果默認動作是允許，至少需要一條拒絕規(guī)則如果默認動作是拒絕,至少需要一條允許規(guī)則

H3C的ACL用于包過濾默認允許用于其他默認拒絕把小范圍的規(guī)則分配一個靠前的順序在不影響實際效果前提下，把包過濾盡量配置在離源地址最近的接口的入方向（降低資源消耗，避免了查完表之后發(fā)現(xiàn)出不去）

基本ACL只對數(shù)據(jù)包的源地址進行匹配（大范圍的過濾,2000-2999）

高級ACL對于數(shù)據(jù)包的五元組匹配（協(xié)議（IP、UDP、TCP、icmp，不知道寫啥就寫IP，在三層不論是什么協(xié)議，都是屬于IP），源IP、目的IP、源MAC、目的MAC，3000-3999）

基于二層的ACL（不作要求，4000-4999）

規(guī)則不加編號的話會以0、5、10以5的倍數(shù)加，避免中間加ACL時沒有空。