设为首页   锐捷官网
用其他帐号登录:
查看: 1046|回复: 0

[交换机] 以太网交换 >> 安全控制 >> ACL

[复制链接]

761

主题

733

帖子

3830

积分

版主

Rank: 7Rank: 7Rank: 7

积分
3830
发表于 2015-5-8 16:38:12 | 显示全部楼层 |阅读模式
1、RG-NBS 系列POE交换机端口安全与ACL共用说明     

1)关于ACL和端口安全配置的规则冲突时,处理逻辑如下:

1.1 在没有开启端口安全功能时,配置ACL规则,ACL规则生效;

1.2 在没有配置ACL规则时,开启端口安全功能,并配置规则,端口安全规则生效;

1.3 配置ACL规则生效后,在同一端口下再配置端口安全规则,如果ACL与端口安全规则之间产生冲突,由于该端口先配置并应用ACL规则,交换机会执行ACL规则,不会执行端口安全规则;

1.4 在同一端口下先配置端口安全规则,再配置ACL规则,如果ACL与端口安全规则之间产生冲突,则先执行端口安全规则;

2)在ACL规则没有应用于端口时,端口安全 * 多能绑定197条规则。

RG-NBS 系列POE交换机策略控制表共有512条,以下功能会占用64条保留规则;

端口安全一条规则占用两条;

ACL规则中标准IP规则是占用一条;

扩展IP和扩展MAC规则每一条规则占用两条;

ACL * 多占用442条,剩余表项为保留表项。


举例说明:

如ACL配置10条标准IP规则,配置于两个端口,占用策略控制表条目为11+11=22条。11条为10条配置的标准IP规则加上1条默认规则

如ACL配置10条扩展IP规则,配置于两个端口,占用策略控制表条目为21+21=42条。21条为10*2条配置的标准IP规则加上1条默认规则

注意:

除去ACL和端口安全、系统占用外,防ARP欺骗、DHCP SNOOPING也会占用策略控制表条目。

防ARP欺骗、DHCP SNOOPING占用为一个规则占用一条。


2、RG-NBS 系列POE交换机访问控制支持标准IP规则、扩展IP规则、MAC规则

RG-NBS 系列POE交换机访问控制支持标准IP规则、扩展IP规则、扩展MAC规则,其中扩展IP规则支持根据协议及其端口号进行流控制,扩展MAC支持根据MAC协议类型进行控制


注意:

RG-NBS 系列POE交换机开启ACL功能后,配置的ACL规则中系统会自动在规则表 * 后配置一条规则deny any any的隐藏规则;

ACL规则中的掩码为通配符掩码,如指定IP地址范围为:192.168.1.0,通配符掩码设置为0.0.0.254,则此时符合规则的IP地址为192.168.1.2,192.168.1.4等


3、配置案例

配置要求:端口0/1允许IP地址为:192.168.100.101的PC上网;端口0/2允许IP地址为192.168.100.102的PC上网。

Ruijie#configure terminal

% Enter configuration commands, one per line.  End with CTRL+Z.

Ruijie(config)#ip access-list extended 10 ------>配置扩展IP

Ruijie(config-ext-ip-nacl)#permit ip host 192.168.100.101 any ------> 允IP:192.168.100.101的PC上网

Ruijie(config-ext-ip-nacl)#permit ip host 192.168.100.102 any ------>允IP:192.168.100.102的PC上网

Ruijie(config)#interface gigabitEthernet 0/1-0/2---进入0/1 和0/2

Ruijie(config-if-gigabitEthernet-range)#ip access-list 10 commit ------>在0/1和0/2端口上应用
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则