在三层交换机上,可以支持IP ACL同时也可以支持MAC ACL也就是ethernet ACL。IP ACL只能过滤IP流量,而MAC ACL可以过滤非IP流量。

根据ACL的应用不同,可以分为port acl、router acl、vlan acl(vlan map)。

port acl

任何一个ACL应用到接口上就称为port acl,port acl是应用在二层接口上的,不能应用在etherchannel上,但只能应用在接口的In方向上,而且接口上只能应用一个acl。

当多种ACL同时使用时,port acl优先级高于任何ACL。

sw1(config)#mac access-list extend cisco

sw1(config-ext-macl)#deny host 0001.0001.0001 host 0002.0002.0002

sw1(config-ext-macl)#permit any any

 

sw1(config)interface f0/0

sw1(config-if)#mac access-group cisco in

上述例子表示在接口f0/0中拒绝0001.0001.0001到达0002.0002.0002的流量

在实际应用中,上面的ACL也可以换成IP ACL

router acl
将ACL应用到三层接口上就称为router acl,只能在接口上应用IP ACL,可以应用在In或者out方向上,一个接口上的一个方向只能应用一个ACL。

vlan acl

当应用vlan acl后,无论二层还是三层转发的流量,在进入和离开vlan时都会被过滤掉,所以说vlan acl是不能定义方向的。

vlan acl根据调用的acl来匹配流量,决定是转发还是丢弃流量,默认情况下,对于匹配到的流量,默认为转发,但可收修改为丢弃;对于没有匹配的流量,默认情况下是丢弃所有的流量。

vlan acl配置实例:

 

security with acl_第1张图片 

在上述拓扑中,要求配置vlan acl,实现R4到R1的流量采取默认动作,R4到R2的流量采取丢弃动作

1、在SW1上分别定义流量

access-list 100 permit ip host 10.1.1.4 host 10.1.1.1

access-list 100 permit ip host 10.1.1.1 host 10.1.1.4

access-list 200 permit ip host 10.1.1.4 host 10.1.1.2

access-list 200 permit ip host 10.1.1.2 host 10.1.1.4

因为vlan acl在应用时是没有方向的,所以定义流量时一定要双向流量都要定义

2、利用vlan map来匹配IP ACL

vlan access-group cisco 10

match ip addrss 100

exit

vlan access-group cisco 20

match ip address 200

exit

3、在vlan 1 上应用ACL

vlan filter cisco vlan-list 1

 

总结:

1、接口上可以同时应用IP ACL和MAC ACL

2、port acl支持所有类型的ACL,包括标准和扩展IP ACL、MAC ACL

3、router acl可以应用在SVI接口、三层接口、三层etherchannel,每个接口的每个方向只能应用一条ACL

4、在配置IP ACL时,可以使用数字,也可以使用名字;使用名字的好处是方便修改每一条ACL

5、交换机上不支持dynamic acl和reflexive acl

6、vlan acl的方向是不能定义的,在配置vlan acl时,一定要考虑双向的流量

7、一个vlan acl可以应用在多个vlan上,但一个vlan上只能应用一条vlan acl

8、被ACL拒绝的ICMP流量,将向源发送ICMP-unreachable