訪問控制通過數據包的源IP地址、源端口、目的IP地址、目的端口以及生效時間來控制局域網內的主機對外網的訪問權限。

1、訪問控制默認策略為“允許”，即“不符合規則的允許通過”。

2、單個IP使用掩碼“/32”標識，所有IP使用“0.0.0.0/32”標識。

3、源地址可以采用“IP+掩碼”或者”用戶組”的方式表示，目的地址可以采用”IP+掩碼”的方式來表示，設置時需要將IP地址段轉換為“IP地址+子網掩碼”方式或者是用戶組的方式。

4、控制策略具有方向性，設置允許訪問的策略時需考慮發出以及返回的數據是否均可以通過。即需要考慮其生效接口域的選擇。

本文以TL-ER6120為例來介紹訪問控制的配置步驟。

例：局域網主機A“192.168.1.10”不受限制，主機B“192.168.1.11”僅允許收發電子郵件，用戶組C“192.168.1.20-30”僅允許瀏覽網頁，其余主機所有服務全部禁止。

【分析】：主機A開放其所有端口，主機B僅開放“53”、“25”與“110”端口，用戶組C僅開放其“53”與“80”端口，其余主機均禁止。

【設置】：

1、 用戶組設置

a. 進入”用戶管理”界面，點擊”組設置”標簽，添加組名”用戶組C”。

b. 點擊”用戶設置”標簽，點擊批量處理，添加IP地址，IP地址范圍192.168.1.20-192.168.1.30。用戶名為”用戶C1-用戶C11”

c. 點擊”視圖”標簽，將用戶C1-C11全部加入到用戶組C中，點擊保存。

2、 開放所有IP的“53”端口。

生效接口域：ER訪問控制為雙向檢測，即具有方向性，設置內網到外網的策略，則生效接口域應選擇“LAN”，外網到內網的策略，生效接口域應選擇“WAN”。

注意：必須選擇正確的生效接口域，否則所設置規則將不生效。

3、開放主機“192.168.1.10”的所有服務。

4、開放主機“192.168.1.11”收發電子郵件權限

5、開放主機用戶組C“192.168.1.20-192.168.1.30”瀏覽網頁權限

6、訪問控制缺省策略為“允許”，所以需要再添加一條規則禁止其他服務

規則完成如下圖：