- 积分
- 379
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 最后登录
- 1970-1-1
- 阅读权限
- 30
- 听众
- 收听
初级工程师
|
今天看题库813 245题提到PACL,百度了下能用在trunk口上,我怎么在真机上都不能啊,求解?
下面是我百度的结果。
3.PACL
通过控制端口级别的流量,PACL(Port ACL)端口ACL能够提供另外一种控制机制。PACL可应用于第2层交换机端口、干道端口或EtherChannel端口。
在使用PACL的时候,能够在第2层接口上应用如下的ACL:
* 标准访控(针对源IP地址)
* 扩展访控(针对源IP地址和目标IP地址以及用于第4层协议类型信息)
* MAC扩展访控(针对源和目标MAC地址,还可以使用第3层协议类型信息)
当PACL应用于trunk端口上时,ACL将过滤trunk端口上所有的vlan的流量。当PACL应用到语音vlan端口的时候,ACL将过滤数据和语音VLAN的流量。
对于PACL,通过采用IP访问控制列表,将能够过滤IP流量,通过采用MAC访问控制列表,将能够过滤非IP流量。此外,通过在接口上应用IP访问控制列表和MAC访问列表,将能够过滤相同的第2层接口上IP流量和非IP流量。
配置MAC扩展访控:
1)进入全局模式 configure terminal
2)定义mac扩展访控名称
mac access-list extended 名称
3) 定义相应访问控制列表语句
deny|permit [any | host 源MAC | 源MAC 源MAC掩码] [any | host 目标MAC | 目标MAC 目标MAC掩码 ] [ aarp | amber | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | mop-console | mop-dump | msdos | mumps | netbios | vines-echo |vines-ip | xns-idp | 0-65535] [cos cos]
4) 应用访问控制列表到第2层接口
进入接口模式 interface 接口
应用访控 mac access-group 访控名称 in
对于端口ACL而言,只有进入的方向可以加访控
5) 验证结果
show access-lists [列表号|名称]
show access-group [interface 接口]
案例:
switch#configure terminal
switch(config)#mac access-list extended cisco
switch(config-ext-macl)#permit host 0011.abcd.abcd host 0011.1111.1111
switch(config-ext-macl)#exit
switch(config)#access-list 101 deny ip 10.10.1.0 0.0.0.255 host 10.10.2.2
switch(config)#access-list 101 permit ip any any
switch(config)#interface f0/23
switch(config-if)#switchport mode trunk
switch(config-if)#ip access-group 101 in
switch(config-if)#mac access-group cisco in
switch(config-if)#end
switch#show access-lists
switch#show access-group interface f0/23
|
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2012-5-17 22:58:01
置顶卡
喧嚣卡
变色卡
千斤顶
