security with acl
在三層交換機上,可以支持IP ACL同時也可以支持MAC ACL也就是ethernet ACL。IP ACL只能過濾IP流量,而MAC ACL可以過濾非IP流量。
根據ACL的應用不同,可以分為port acl、router acl、vlan acl(vlan map)。
port acl
任何一個ACL應用到接口上就稱為port acl,port acl是應用在二層接口上的,不能應用在etherchannel上,但只能應用在接口的In方向上,而且接口上只能應用一個acl。
當多種ACL同時使用時,port acl優先級高于任何ACL。
sw1(config)#mac access-list extend cisco
sw1(config-ext-macl)#deny host 0001.0001.0001 host 0002.0002.0002
sw1(config-ext-macl)#permit any any
?
sw1(config)interface f0/0
sw1(config-if)#mac access-group cisco in
上述例子表示在接口f0/0中拒絕0001.0001.0001到達0002.0002.0002的流量
在實際應用中,上面的ACL也可以換成IP ACL
router acl
將ACL應用到三層接口上就稱為router acl,只能在接口上應用IP ACL,可以應用在In或者out方向上,一個接口上的一個方向只能應用一個ACL。
vlan acl
當應用vlan acl后,無論二層還是三層轉發的流量,在進入和離開vlan時都會被過濾掉,所以說vlan acl是不能定義方向的。
vlan acl根據調用的acl來匹配流量,決定是轉發還是丟棄流量,默認情況下,對于匹配到的流量,默認為轉發,但可收修改為丟棄;對于沒有匹配的流量,默認情況下是丟棄所有的流量。
vlan acl配置實例:
?
?
在上述拓撲中,要求配置vlan acl,實現R4到R1的流量采取默認動作,R4到R2的流量采取丟棄動作
1、在SW1上分別定義流量
access-list 100 permit ip host 10.1.1.4 host 10.1.1.1
access-list 100 permit ip host 10.1.1.1 host 10.1.1.4
access-list 200 permit ip host 10.1.1.4 host 10.1.1.2
access-list 200 permit ip host 10.1.1.2 host 10.1.1.4
因為vlan acl在應用時是沒有方向的,所以定義流量時一定要雙向流量都要定義
2、利用vlan map來匹配IP ACL
vlan access-group cisco 10
match ip addrss 100
exit
vlan access-group cisco 20
match ip address 200
exit
3、在vlan 1 上應用ACL
vlan filter cisco vlan-list 1
?
總結:
1、接口上可以同時應用IP ACL和MAC ACL
2、port acl支持所有類型的ACL,包括標準和擴展IP ACL、MAC ACL
3、router acl可以應用在SVI接口、三層接口、三層etherchannel,每個接口的每個方向只能應用一條ACL
4、在配置IP ACL時,可以使用數字,也可以使用名字;使用名字的好處是方便修改每一條ACL
5、交換機上不支持dynamic acl和reflexive acl
6、vlan acl的方向是不能定義的,在配置vlan acl時,一定要考慮雙向的流量
7、一個vlan acl可以應用在多個vlan上,但一個vlan上只能應用一條vlan acl
8、被ACL拒絕的ICMP流量,將向源發送ICMP-unreachable
轉載于:https://blog.51cto.com/martin1201/961429
總結
以上是生活随笔為你收集整理的security with acl的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: premiere声音大小怎么调(pr怎么
- 下一篇: Apache配置(转载)