访问控制列表（ACLs）.docVIP

访问控制列表（ACLs） 这个部分描述访问控制列表（ACLs）的特性。 概述 访问控制列表可以控制进入网络的流量。通常ACLs设置在一个防火墙路由器或连接两个内部网络的路由器。当你配置ACLs，你可以选择地允许或拒绝进来的流量，从而控制对你的网络或在网络上特定资源的访问。 你可以设置ACLs来控制在第二或第三层的流量。MAC ACLs用于第二层，IP ACLs用于第三层。 每个ACL包含一套应用于进来流量的规则。每条规则用于指定特定域的内容是否允许或拒绝访问网络，并且应用到数据包的一个或多个域中。 限制 ACLs的应用存在以下的限制。这些限制由不同的平台来决定。 最多100条ACLs 每条ACL最多－条规则 堆叠系统不支持重定向 系统在相同的端口上不支持MAC ACLs和IP ACLs。 系统只支持为进来的数据流量设定ACLs。 注意： MAC ACLs MAC ACLs是第二层的ACLs。你可以配置规则来检查一个数据包的以下域（平台限制）： 源MAC地址和掩码 目标MAC地址和掩码 VLAN ID（或IDs范围） 服务类型（CoS）（802.1p） Ethertype L2 ACLs可应用到一个或多个接口 多个访问列表可应用到单一个接口——序号决定执行的顺序 不能在同一个接口上配置MAC ACL和IP ACL 使数据包根据指定的队列选项来排队 使用重定向选项来重定向数据包 配置IP ACLs IP ACL归类为第三层。 每个ACL是一套应用于进来数据流量的规则。每条规则用于指定给定域的数据内容是否允许或拒绝访问网络，并且在一个数据包上应用于一个或多个域： 源IP地址 目标IP地址 源四层端口 目标四层端口 ToS字节 协议号 注意规则的顺序是很重要的：当一个数据包与多条规则匹配，第一条规则优先处理。同样地，一旦定义对于给定端口的ACL，所有没有由ACL指定允许的数据流量将会被拒绝访问。 步骤 配置ACL遵循以下步骤： 通过指定一个名称（MAC ACL）或一个号码（IP ACL）来创建ACL 增加新的规则到ACL 为规则制定匹配的标准 应用ACL到一个或多个接口 IP ACL命令行界面示例 在这个部分的文本展示了如何设置具有两条规则的IP ACL，一个应用到TCP流量，另外一个应用到UDP流量。这两条规则的内容是一样的。如果源和目的站点和定义的规则中的IP地址一样，则TCP和UDP的数据包将允许通过7000系列全网管交换机。 下面是在7000系列交换机上配置ACL的示例： MAC ACL命令行界面示例 下面是用于配置MAC ACL的命令行界面示例。 示例#1：mac access list 示例#2：permit any 示例#3：配置mac access-group 示例#4：permit 示例#5：show mac access-lists