访问列表 (ACL) 是 UniFi 交换机上用于阻止相同或不同虚拟网络 (VLAN) 上的设备之间特定流量的规则。请参阅设备和网络隔离以了解如何自动创建这些规则。
要求
除少数设备之外,所有 UniFi Switch 型号 均支持 ACL。云网关主机和接入点不支持 ACL,即使它们集成了交换功能。以下设备不支持 ACL:
- USW-Flex
- USW-Flex-Mini
- US-8
- USW-Industrial
- USW-Ultra
- USW-Ultra-60W
- USW-Ultra-210W
- 所有 UniFi 云网关主机
- 所有 UniFi 接入点 (包括 In-Wall 型号)
MAC 和 IP ACL
ACL 规则为更多高级阻止需求提供了可自定义的选项。ACL 规则包含两类:
- MAC ACL - 阻止同一网络(VLAN)内设备之间的流量。
- IP ACL - 阻止不同网络中设备之间的流量。
ACL 规则按照从上到下的顺序应用。如果需要在阻止所有规则之前允许特定流量,则应首先创建允许规则并将其置于阻止规则之上。请谨慎操作,先创建允许规则,然后再添加源 Any 到目标 Any 的阻止规则。
注意:MAC ACL 在 IP ACL 之前应用,并且无法将 MAC ACL 添加到 UniFi 设备管理网络。
MAC ACL 规则可以配置为:
- 阻止或允许流量
- 应用于所有或特定交换机
- 应用于 VLAN
- 匹配源设备或 MAC 地址
- 匹配目标设备或 MAC 地址
- 使用网络掩码匹配 MAC 地址的特定部分
注意:添加 MAC ACL 时请格外小心,因为您可能会意外阻止来自客户端的所有通信。
IPv4 ACL 规则可配置为:
- 阻止或允许流量
- 匹配所有或特定的交换机
- 匹配所有或特定协议
- 匹配源网络或特定 IPv4 地址
- 匹配目标网络或特定 IPv4 地址
- 匹配特定的 UDP/TCP 端口
注意:使用远程采用将 UniFi 设备远程连接到不在本地网络中的 Cloud Key 或网络服务器时,添加 IP ACL 时请格外小心。您可能会意外阻止 UniFi 设备与 UniFi Network 应用程序之间的所有通信。
MAC ACL 示例
在此场景中,员工网络上存在 UniFi 云网关主机和客户端。这组四个 MAC ACL 阻止同一网络上所有客户端之间的流量,并增加以下内容:
- 允许客户端与 UniFi 云网关主机通信以访问互联网。
- 允许客户端使用 ARP 协议进行发现。
- 阻止客户端相互通信。
规则 1 - 允许从 UniFi 云网关主机到员工网络上的所有设备的流量。
- 操作:允许
- 交换机:所有交换机
- VLAN/网络:员工
- 源类型:MAC 地址
- 来源:ab:cd:ef:12:34:56(UniFi 云网关主机的 MAC 地址)
- 目的地类型:任何
规则 2 - 允许来自员工网络上所有设备的流量到 UniFi 云网关主机。
- 操作:允许
- 交换机:所有交换机
- VLAN/网络:员工
- 源类型:任何
- 目标类型:MAC 地址
- 目的地:ab:cd:ef:12:34:56(UniFi 云网关主机的 MAC 地址)
规则 3 - 允许来自员工网络上所有设备的 ARP 流量。
- 操作:允许
- 交换机:所有交换机
- VLAN/网络:员工
- 源类型:任何
- 目标类型:MAC 地址
- 目的地:ff:ff:ff:ff:ff:ff:ff(ARP MAC 地址)
规则 4 - 阻止员工网络上的所有其他流量。
- 操作:阻止
- 交换机:所有交换机
- VLAN/网络:员工
- 源类型:任何
- 目的地类型:任何
IP ACL 示例
在此场景中,Default 网络上存在常规客户端设备,并且存在包含其他客户端设备的 IoT 网络。这组两个 IP ACL 阻止 Default 网络和 IoT 网络上所有设备之间的流量。
规则 1 - 阻止从 Default 网络上的所有设备到 IoT 网络的流量。
- 操作:阻止
- 交换机:所有交换机
- 协议:全部
- 来源类型:网络
- 来源:Default
- 目标类型:网络
- 目标:IoT
规则 2 - 阻止从 IoT 网络上的所有设备到 Default 网络的流量。
- 操作:阻止
- 交换机:所有交换机
- 协议:全部
- 来源类型:网络
- 来源:IoT
- 目标类型:网络
- 目的地:Default
