H3C華三ACL包過濾配置知識要點，新手必看。

ACL包過濾

acl本身不對數據流做操作，只負責做匹配和篩選。

ACL+Packet-filter訪問控制（叫做基于ACL的包過濾）

ACL+Route-policy路由控制

ACL+QOS流量控制

一個接口的一個方向只能配置一個包過濾策略，華三設備包過濾時，默認動作為允許。用在其他的控制動作時（例如流量控制）默認是拒絕的。

注意事項：

如果默認動作是允許，至少需要一條拒絕規則如果默認動作是拒絕,至少需要一條允許規則

H3C的ACL用于包過濾默認允許用于其他默認拒絕把小范圍的規則分配一個靠前的順序在不影響實際效果前提下，把包過濾盡量配置在離源地址最近的接口的入方向（降低資源消耗，避免了查完表之后發現出不去）

基本ACL只對數據包的源地址進行匹配（大范圍的過濾,2000-2999）

高級ACL對于數據包的五元組匹配（協議（IP、UDP、TCP、icmp，不知道寫啥就寫IP，在三層不論是什么協議，都是屬于IP），源IP、目的IP、源MAC、目的MAC，3000-3999）

基于二層的ACL（不作要求，4000-4999）

規則不加編號的話會以0、5、10以5的倍數加，避免中間加ACL時沒有空。