此“交换机上的ACL”图显示了PACL,VACL和RACL的位置以及交换机上的流量方向。清晰易懂。

交换机访问列表

交换机支持以下四种类型的ACL进行流量过滤:
  • 路由器ACL
  • 端口ACL
  • VLAN访问控制列表
  • MAC ACL

路由器ACL

顾名思义,路由器ACL与第2章“访问控制”中讨论的IOS ACL相似,可用于过滤交换虚拟接口(SVI)上的网络流量。 (SVI接口是VLAN,第3层物理接口和第3层EtherChannel接口上的第3层接口。)支持标准ACL和扩展ACL。有关配置路由器ACL的更多详细信息,请参阅第2章。

端口ACL

端口ACL与路由器ACL类似,但在物理接口上受支持,并在交换机的第2层接口上配置。端口ACL仅支持入站流量过滤。可以将端口ACL配置为三种类型的访问列表:标准,扩展和MAC扩展。
端口ACL的处理与路由器ACL相似。交换机检查与在给定接口上配置的功能相关联的ACL,并根据ACL中的数据包匹配标准来允许或拒绝数据包转发。
当应用于中继端口时,ACL会过滤中继端口上存在的所有VLAN上的流量。当应用于具有语音VLAN的端口时,ACL会过滤数据VLAN和语音VLAN上的流量。
端口ACL的主要好处是它可以过滤IP流量(使用IP访问列表)和非IP流量(使用MAC访问列表)。两种类型的过滤都可以实现-也就是说,第2层接口可以同时应用IP访问列表和MAC访问列表。
注意
EtherChannel接口不支持端口ACL。

VLAN访问控制列表(VACL)

VLAN访问控制列表(也称为 VLAN图)为 所有 在VLAN内桥接或路由进出VLAN的流量类型。与路由器ACL不同,VACL不是由方向(输入或输出)定义的。根据VACL检查进入VLAN(桥接或路由)的所有数据包。通过组合VACL和专用VLAN功能,可以根据通信方向过滤通信。
VACL是在硬件中处理的,因此在处理它们时不会降低性能。因此,它们也称为 线速ACL。不管访问列表的大小如何,转发速率都保持不变,因为VACL的查找是在硬件中执行的。

桥接端口上的VACL

图4-2 说明了在将VACL应用于从VLAN 5中的主机A通过交换机与VLAN 10中的主机B通信的桥接端口上的VACL时,在哪里处理VACL。

图4-2 桥接端口上的VACL

路由端口上的VACL

图4-3 说明了如何将IOS ACL和VACL应用于路由数据包和第3层交换数据包。以下是处理顺序:
  1. 输入VLAN的VACL
  2. 输入IOS ACL
  3. 输出IOS ACL
  4. VACL用于输出VLAN

图4-3 路由端口上的VACL

配置VACL

请执行以下步骤在交换机上配置和应用VACL(VLAN访问映射):
  1. 定义要在VACL中使用的标准或扩展访问列表。
  2. 定义VLAN访问映射。
  3. 在VLAN访问映射序列中配置match子句。
  4. 在VLAN访问映射序列中配置操作子句。
  5. 将VLAN访问映射应用于指定的VLAN。
  6. 显示VLAN访问映射信息。
例4-6显示了如何定义和应用VACL来丢弃与网络192.168.1.0/24的访问列表1匹配的数据包。与访问列表2匹配的所有其他数据包将被转发。 VACL适用于VLAN 5到10。

示例4-6 VACL配置示例

Switch(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Switch(config)#access-list 2 permit any
Switch(config)#vlan access-map mymap 10
Switch(config-access-map)#match ip address 1
Switch(config-access-map)#action drop
Switch(config-access-map)#exit
Switch(config)#vlan access-map mymap 20
Switch(config-access-map)#match ip address 2
Switch(config-access-map)#action forward
Switch(config-access-map)#exit
Switch(config)# vlan filter mymap vlan-list 5-10
Switch(config-access-map)#end

Switch# show vlan access-map
Vlan access-map "mymap" 10
Match clauses:
ip address: 1
Action:
drop
Vlan access-map "mymap" 20
Match clauses:
ip address: 2
Action:
Forward


Switch# show vlan filter
VLAN Map mymap is filtering VLANs:
5-10


MAC ACL

MAC ACL,也称为 以太网ACL可以使用命名的MAC扩展ACL中的MAC地址过滤VLAN和物理第2层接口上的非IP流量。配置MAC ACL的步骤与扩展命名ACL的步骤相似。 MAC ACL仅支持入站流量过滤。
要定义MAC扩展ACL,请使用 mac访问列表扩展 命令。支持几种非IP协议。
创建MAC ACL后,可以使用以下命令将其应用于第二层接口 mac访问组[acl-name]在 命令用来过滤接口上收到的非IP流量。
例4-7显示了如何定义和应用MAC ACL来丢弃所有(非IP)AppleTalk地址解析协议(AARP)数据包,并允许所有其他类型的流量。

示例4-7 MAC ACL配置示例

Switch(config)# mac访问列表扩展 my-mac-acl
Switch(config-ext-macl)# deny any any aarp
Switch(config-ext-macl)# permit any any
Switch(config-ext-macl)# exit
Switch(config)# interface Fastethernet0/10
Switch(config-if)# mac access-group my-mac-acl in
Switch(config-if)# end


 

通过 约翰

发表评论