security with acl
在三层交换机上,可以支持IP ACL同时也可以支持MAC ACL也就是ethernet ACL。IP ACL只能过滤IP流量,而MAC ACL可以过滤非IP流量。
根据ACL的应用不同,可以分为port acl、router acl、vlan acl(vlan map)。
port acl
任何一个ACL应用到接口上就称为port acl,port acl是应用在二层接口上的,不能应用在etherchannel上,但只能应用在接口的In方向上,而且接口上只能应用一个acl。
当多种ACL同时使用时,port acl优先级高于任何ACL。
sw1(config)#mac access-list extend cisco
sw1(config-ext-macl)#deny host 0001.0001.0001 host 0002.0002.0002
sw1(config-ext-macl)#permit any any
sw1(config)interface f0/0
sw1(config-if)#mac access-group cisco in
上述例子表示在接口f0/0中拒绝0001.0001.0001到达0002.0002.0002的流量
在实际应用中,上面的ACL也可以换成IP ACL
router acl
将ACL应用到三层接口上就称为router acl,只能在接口上应用IP ACL,可以应用在In或者out方向上,一个接口上的一个方向只能应用一个ACL。
vlan acl
当应用vlan acl后,无论二层还是三层转发的流量,在进入和离开vlan时都会被过滤掉,所以说vlan acl是不能定义方向的。
vlan acl根据调用的acl来匹配流量,决定是转发还是丢弃流量,默认情况下,对于匹配到的流量,默认为转发,但可收修改为丢弃;对于没有匹配的流量,默认情况下是丢弃所有的流量。
vlan acl配置实例:
在上述拓扑中,要求配置vlan acl,实现R4到R1的流量采取默认动作,R4到R2的流量采取丢弃动作
1、在SW1上分别定义流量
access-list 100 permit ip host 10.1.1.4 host 10.1.1.1
access-list 100 permit ip host 10.1.1.1 host 10.1.1.4
access-list 200 permit ip host 10.1.1.4 host 10.1.1.2
access-list 200 permit ip host 10.1.1.2 host 10.1.1.4
因为vlan acl在应用时是没有方向的,所以定义流量时一定要双向流量都要定义
2、利用vlan map来匹配IP ACL
vlan access-group cisco 10
match ip addrss 100
exit
vlan access-group cisco 20
match ip address 200
exit
3、在vlan 1 上应用ACL
vlan filter cisco vlan-list 1
总结:
1、接口上可以同时应用IP ACL和MAC ACL
2、port acl支持所有类型的ACL,包括标准和扩展IP ACL、MAC ACL
3、router acl可以应用在SVI接口、三层接口、三层etherchannel,每个接口的每个方向只能应用一条ACL
4、在配置IP ACL时,可以使用数字,也可以使用名字;使用名字的好处是方便修改每一条ACL
5、交换机上不支持dynamic acl和reflexive acl
6、vlan acl的方向是不能定义的,在配置vlan acl时,一定要考虑双向的流量
7、一个vlan acl可以应用在多个vlan上,但一个vlan上只能应用一条vlan acl
8、被ACL拒绝的ICMP流量,将向源发送ICMP-unreachable
转载于:https://blog.51cto.com/martin1201/961429
security with acl相关推荐
- Spring Security(18)——Jsp标签
目录 1.1 authorize 1.2 authentication 1.3 accesscontrollist Spring Security也有对Jsp标签的支持的标签库 ...
- security安全表达式介绍
本文来说下security安全表达式 文章目录 概述 hasRole, hasAnyRole hasAuthority, hasAnyAuthority 全部允许,全部拒绝 isAnonymous, ...
- Spring Security 参考手册(一)
Spring Security 参考手册 Ben AlexLuke TaylorRob WinchGunnar Hillert Spring security 是一个强大的和高度可定制的身份验证和访问 ...
- 博士在淘宝“扫垃圾”
金磊 发自 凹非寺 量子位 报道 | 公众号 QbitAI 相信在座各位网上冲浪时,总会遇到一些"葬爱家族"式的文字: "胃♡"."叩-裙" ...
- 网络设备主备配置系列3:华为防火墙(路由模式)
自从推荐主备配置系列以来,许多网友一起与我沟通配置的方法.这两天终于有时间了,决定继续推出华为的.共分两部分,路由模式与透明模式! 双机热备,所谓双机热备其实是双机状态备份,当两台防火墙,在确定主 ...
- 无法扩展该卷 因为群集的数量将超过文件系统_Ubifs文件系统分析
转载是一种动力 分享是一种美德 1. 引言 UBIFS,Unsorted Block Image File System,无排序区块图像文件系统.它是用于固态硬盘存储设备上,并与LogFS相互竞争, ...
- redis6.2.6版本配置详解
#redis 配置################################## 配置 include #################################### 加载配置文件 # ...
- [Kong 与 Konga 与 Postgres数据库] 之 Kuberneres 部署
1.Kong的概述 Kong是一个clould-native.快速的.可扩展的.分布式的微服务抽象层(也称为API网关.API中间件或在某些情况下称为服务网格)框架.Kong作为开源项目在2015年推 ...
- spring-security的基本概念和原理
前言 Servlet安全性:宏观视图 本节讨论基于Servlet的应用程序中的Spring Security高层架构.我们在引用的"身份验证.授权.防止攻击保护"部分中构建这种高层 ...
最新文章
- 求最小子数组之二维篇
- WINCE支持的波斯语的codepages
- mysql中的sql_mysql中的sql语句
- 软考-信息系统项目管理师-项目管理成熟度模型
- JavaScript解析Json字符串
- 《C++ Primer 5th》笔记(2 / 19):变量和基本类型
- print的小白用法
- gulp教程之gulp-autoprefixer
- 真与开源“化敌为友”:微软连自己的 Linux 发行版都有了!
- python 时间戳_Python打牢基础,从19个语法开始!
- echarts单个实例包含多个grid,标题分别居中
- DOSBox安装及使用教程
- ADI公司与B-Secur携手开发面向汽车工业的生物特征识别技术
- 小米刷机指南 |使用MiFlash刷机一直flashing|小米手机忘记密码|小米手机清理数据
- 什么是涡以及vortex和eddy的区别
- xcode 可以打开xmind_XMind 推出的轻量化脑图工具,时隔两年迎来大版本更新:Lighten 2...
- 英语听力采用计算机化考试,北京高考英语听力机考有什么特点?
- Wait延时及定时查询
- SSLOJ1786 麻将游戏
- sap货物移动相关的bapi(MIGO/MB1A)
热门文章
- Word2Vec小心得
- Android开发系列之创建自定义控件
- java Object类是可以接收集合类型的
- Alexa 网站排名
- C#类的属性遍历及属性值获取
- linux共享 smb3.0,区块链3.0_精通Hyperledger之Samba使用(4)
- office2016中插入公式心得
- oracle中alter用法,将oracle的create语句更改为alter语句使用
- 远程控制漏洞CNVD-2022-10270/CNVD-2022-03672 向日葵RCE复现与解决
- hashmap中的key是有序的么_HashMap?面试?我是谁?我在哪