Онлайн-демонстрация
Связаться с нами
7.5. Настройка расширенного ACL (Extended ACL)
Назначение
Расширенный ACL по IPv4-адресу объединяет MAC-фильтры и IP-фильтры в одном списке доступа. В отличие от ACL по MAC и IP, расширенный ACL может контролировать доступ на уровнях L2 и L3. Расширенный ACL поддерживает расширенный IPv4 ACL.
Описание
MAC ACL может фильтровать пакеты по MAC-SA и MAC-DA. MAC-адрес может быть замаскирован, или настроен как идентификатор сетевого узла, или настроен как любой для фильтрации всех MAC-адресов. MAC ACL также может фильтровать другие поля L2, такие как COS, VLAN-ID, INNER-COS, INNER-VLAN-ID, тип L2, тип L3.
IPv4 ACL может фильтровать пакеты по IP-SA и IP-DA. IP-адрес может быть скрыт, настроен как идентификатор узла, или настроен как любой для фильтрации всех IPv4-адресов. IPv4 ACL также может фильтровать другие поля L3, такие как DSCP, протокол L4 и поля L4, такие как порт TCP, порт UDP и так далее (подробнее см. в Справочнике по командам).
MAC ACL и IPv4 ACL в расширенном IPv4 ACL могут быть настроены поочередно в произвольном порядке.
Настройка
В данном примере на интерфейсе “eth-0-1” использован расширенный ACL по IPv4, чтобы разрешить пакеты с исходным MAC-адресом 0000.0000.1111 и значением COS, равным 2, разрешить все TCP-пакеты и запретить любые другие пакеты.
Шаг 1: Вход в режим “Global config”
Switch# configure terminal
Шаг 2: Создание ACL
Switch(config)# ip access-list ipxacl extend
Switch(config-ex-ip-acl)# permit src-mac host 0000.0000.1111 dest-mac any cos 2
Switch(config-ex-ip-acl)# permit tcp any any
Switch(config-ex-ip-acl)# deny src-mac any dest-mac any
Switch(config-ex-ip-acl)# end
Шаг 3: Создание класса и привязка ACL
Switch(config)# class-map cmap
Switch(config-cmap)# match access-group ipxacl
Switch(config-cmap)# exit
Шаг 4: Настройка политики и привязка класса
Switch(config)# policy-map pmap
Switch(config-pmap)# class cmap
Switch(config-pmap-c)# exit
Switch(config-pmap)# exit
Шаг 5: Применение политики на порте
Switch(config)# interface eth-0-1
Switch(config-if)# service-policy input pmap
Switch(config-if)# exit
Шаг 6: Выход из режима “Global config”
Switch(config)# end
Шаг 7: Проверка
Switch# show running-config
ip access-list ipxacl extend
10 permit src-mac host 0000.0000.1111 dest-mac any cos 2
20 permit tcp any any
30 deny src-mac any dest-mac any
!
class-map match-any cmap
match access-group ipxacl
!
policy-map pmap
class cmap
!
interface eth-0-1
service-policy input pmap
!
Switch# show access-list ip
ip access-list ipxacl extend
10 permit src-mac host 0000.0000.1111 dest-mac any cos 2
20 permit tcp any any
30 deny src-mac any dest-mac any