在三層交換機上，可以支持IP ACL同時也可以支持MAC ACL也就是ethernet ACL。IP ACL只能過濾IP流量，而MAC ACL可以過濾非IP流量。

根據ACL的應用不同，可以分為port acl、router acl、vlan acl(vlan map)。

port acl

任何一個ACL應用到接口上就稱為port acl，port acl是應用在二層接口上的，不能應用在etherchannel上，但只能應用在接口的In方向上，而且接口上只能應用一個acl。

當多種ACL同時使用時，port acl優先級高于任何ACL。

sw1(config)#mac access-list extend cisco

sw1(config-ext-macl)#deny host 0001.0001.0001 host 0002.0002.0002

sw1(config-ext-macl)#permit any any

?

sw1(config)interface f0/0

sw1(config-if)#mac access-group cisco in

上述例子表示在接口f0/0中拒絕0001.0001.0001到達0002.0002.0002的流量

在實際應用中，上面的ACL也可以換成IP ACL

router acl
將ACL應用到三層接口上就稱為router acl，只能在接口上應用IP ACL，可以應用在In或者out方向上，一個接口上的一個方向只能應用一個ACL。

vlan acl

當應用vlan acl后，無論二層還是三層轉發的流量，在進入和離開vlan時都會被過濾掉，所以說vlan acl是不能定義方向的。

vlan acl根據調用的acl來匹配流量，決定是轉發還是丟棄流量，默認情況下，對于匹配到的流量，默認為轉發，但可收修改為丟棄；對于沒有匹配的流量，默認情況下是丟棄所有的流量。

vlan acl配置實例：

?

?

在上述拓撲中，要求配置vlan acl，實現R4到R1的流量采取默認動作，R4到R2的流量采取丟棄動作

1、在SW1上分別定義流量

access-list 100 permit ip host 10.1.1.4 host 10.1.1.1

access-list 100 permit ip host 10.1.1.1 host 10.1.1.4

access-list 200 permit ip host 10.1.1.4 host 10.1.1.2

access-list 200 permit ip host 10.1.1.2 host 10.1.1.4

因為vlan acl在應用時是沒有方向的，所以定義流量時一定要雙向流量都要定義

2、利用vlan map來匹配IP ACL

vlan access-group cisco 10

match ip addrss 100

exit

vlan access-group cisco 20

match ip address 200

exit

3、在vlan 1 上應用ACL

vlan filter cisco vlan-list 1

?

總結：

1、接口上可以同時應用IP ACL和MAC ACL

2、port acl支持所有類型的ACL，包括標準和擴展IP ACL、MAC ACL

3、router acl可以應用在SVI接口、三層接口、三層etherchannel，每個接口的每個方向只能應用一條ACL

4、在配置IP ACL時，可以使用數字，也可以使用名字；使用名字的好處是方便修改每一條ACL

5、交換機上不支持dynamic acl和reflexive acl

6、vlan acl的方向是不能定義的，在配置vlan acl時，一定要考慮雙向的流量

7、一個vlan acl可以應用在多個vlan上，但一個vlan上只能應用一條vlan acl

8、被ACL拒絕的ICMP流量，將向源發送ICMP-unreachable

轉載于:https://blog.51cto.com/martin1201/961429

總結

以上是生活随笔為你收集整理的security with acl的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。