訪問列表 (ACL) 是 UniFi 交換機上用於阻止相同或不同虛擬網路 (VLAN) 上的設備之間特定流量的規則。請參閱設備和網路隔離以瞭解如何自動創建這些規則。

要求

除少數設備之外，所有 UniFi Switch 型號 均支援 ACL。雲閘道器主機和接入點不支援 ACL，即使它們集成了交換功能。以下設備不支援 ACL：

• USW-Flex
• USW-Flex-Mini
• US-8
• USW-Industrial
• USW-Ultra
• USW-Ultra-60W
• USW-Ultra-210W
• 所有 UniFi 雲閘道器主機
• 所有 UniFi 接入點 (包括 In-Wall 型號)

MAC 和 IP ACL

ACL 規則為更多高級阻止需求提供了可自定義的選項。ACL 規則包含兩類：

• MAC ACL - 阻止同一網路（VLAN）內設備之間的流量。
• IP ACL - 阻止不同網路中設備之間的流量。

ACL 規則按照從上到下的順序應用。如果需要在阻止所有規則之前允許特定流量，則應首先創建允許規則並將其置於阻止規則之上。請謹慎操作，先創建允許規則，然後再添加源 Any 到目標 Any 的阻止規則。

注意：MAC ACL 在 IP ACL 之前應用，並且無法將 MAC ACL 添加到 UniFi 設備管理網路。

MAC ACL 規則可以配置為：

• 阻止或允許流量
• 應用於所有或特定交換機
• 應用於 VLAN
• 匹配源設備或 MAC 地址
• 匹配目標設備或 MAC 地址
• 使用網路掩碼匹配 MAC 地址的特定部分

注意：添加 MAC ACL 時請格外小心，因為您可能會意外阻止來自客戶端的所有通信。

IPv4 ACL 規則可配置為：

• 阻止或允許流量
• 匹配所有或特定的交換機
• 匹配所有或特定協議
• 匹配源網路或特定 IPv4 地址
• 匹配目標網路或特定 IPv4 地址
• 匹配特定的 UDP/TCP 端口

注意：使用遠程採用將 UniFi 設備遠程連接到不在本地網路中的 Cloud Key 或網路伺服器時，添加 IP ACL 時請格外小心。您可能會意外阻止 UniFi 設備與 UniFi Network 應用程式之間的所有通信。

MAC ACL 示例

在此場景中，員工網路上存在 UniFi 雲閘道器主機和客戶端。這組四個 MAC ACL 阻止同一網路上所有客戶端之間的流量，並增加以下內容：

• 允許客戶端與 UniFi 雲閘道器主機通信以訪問互聯網。
• 允許客戶端使用 ARP 協議進行發現。
• 阻止客戶端相互通信。

規則 1 - 允許從 UniFi 雲閘道器主機到員工網路上的所有設備的流量。

• 操作：允許
• 交換機：所有交換機
• VLAN/網路：員工
• 源類型：MAC 地址
• 來源：ab:cd:ef:12:34:56（UniFi 雲閘道器主機的 MAC 地址）
• 目的地類型：任何

規則 2 - 允許來自員工網路上所有設備的流量到 UniFi 雲閘道器主機。

• 操作：允許
• 交換機：所有交換機
• VLAN/網路：員工
• 源類型：任何
• 目標類型：MAC 地址
• 目的地：ab:cd:ef:12:34:56（UniFi 雲閘道器主機的 MAC 地址）

規則 3 - 允許來自員工網路上所有設備的 ARP 流量。

• 操作：允許
• 交換機：所有交換機
• VLAN/網路：員工
• 源類型：任何
• 目標類型：MAC 地址
• 目的地：ff:ff:ff:ff:ff:ff:ff（ARP MAC 地址）

規則 4 - 阻止員工網路上的所有其他流量。

• 操作：阻止
• 交換機：所有交換機
• VLAN/網路：員工
• 源類型：任何
• 目的地類型：任何

IP ACL 示例

在此場景中，Default 網路上存在常規客戶端設備，並且存在包含其他客戶端設備的 IoT 網路。這組兩個 IP ACL 阻止 Default 網路和 IoT 網路上所有設備之間的流量。

規則 1 - 阻止從 Default 網路上的所有設備到 IoT 網路的流量。

• 操作：阻止
• 交換機：所有交換機
• 協議：全部
• 來源類型：網路
• 來源：Default
• 目標類型：網路
• 目標：IoT

規則 2 - 阻止從 IoT 網路上的所有設備到 Default 網路的流量。

• 操作：阻止
• 交換機：所有交換機
• 協議：全部
• 來源類型：網路
• 來源：IoT
• 目標類型：網路
• 目的地：Default