这个部分描述访问控制列表(ACLs)的特性。
概述
访问控制列表可以控制进入网络的流量。通常ACLs设置在一个防火墙路由器或连接两个内部网络的路由器。当你配置ACLs,你可以选择地允许或拒绝进来的流量,从而控制对你的网络或在网络上特定资源的访问。
你可以设置ACLs来控制在第二或第三层的流量。MAC ACLs用于第二层,IP ACLs用于第三层。
每个ACL包含一套应用于进来流量的规则。每条规则用于指定特定域的内容是否允许或拒绝访问网络,并且应用到数据包的一个或多个域中。
限制
ACLs的应用存在以下的限制。这些限制由不同的平台来决定。
- 最多100条ACLs
- 每条ACL最多9-23条规则
- 堆叠系统不支持重定向
系统在相同的端口上不支持MAC ACLs和IP ACLs。
系统只支持为进来的数据流量设定ACLs。
|
|
注意:GSM73xxS,FSM73xxS系列才支持23个ACL规则。FSM7326P,GSM7248,GSM7312,GSM7324只支持9个ACL规则。 |
MAC ACLs
MAC ACLs是第二层的ACLs。你可以配置规则来检查一个数据包的以下域(平台限制):
- 源MAC地址和掩码
- 目标MAC地址和掩码
- VLAN ID(或IDs范围)
- 服务类型(CoS)(802.1p)
- Ethertype
- L2 ACLs可应用到一个或多个接口
- 多个访问列表可应用到单一个接口——序号决定执行的顺序
- 不能在同一个接口上配置MAC ACL和IP ACL
- 使数据包根据指定的队列选项来排队
- 使用重定向选项来重定向数据包
配置 IP ACLs
IP ACL归类为第三层。
每个ACL是一套应用于进来数据流量的规则。每条规则用于指定给定域的数据内容是否允许或拒绝访问网络,并且在一个数据包上应用于一个或多个域:
- 源IP地址
- 目标IP地址
- 源四层端口
- 目标四层端口
- ToS字节
- 协议号
注意规则的顺序是很重要的:当一个数据包与多条规则匹配,第一条规则优先处理。同样地,一旦定义对于给定端口的ACL,所有没有由ACL指定允许的数据流量将会被拒绝访问。
步骤
配置ACL遵循以下步骤:
- 通过指定一个名称(MAC ACL)或一个号码(IP ACL)来创建ACL
- 增加新的规则到ACL
- 为规则制定匹配的标准
- 应用ACL到一个或多个接口
IP ACL 命令行界面示例
在这个部分的文本展示了如何设置具有两条规则的IP ACL,一个应用到TCP流量,另外一个应用到UDP流量。这两条规则的内容是一样的。如果源和目的站点和定义的规则中的IP地址一样,则TCP和UDP的数据包将允许通过7000系列全网管交换机。
下面是在7000系列交换机上配置ACL的示例:
MAC ACL命令行界面示例
下面是用于配置MAC ACL的命令行界面示例。
示例#1:mac access list
示例#2:permit any
示例#3:配置mac access-group
示例#4:permit
示例#5:show mac access-lists
|
序号 no. |
日期 date |
作者 author |
摘要 summary |
|
1 |
2010-11-03 |
Netgear |
文档创建 |
