已有帐户?

  •   个性化内容
  •   您的产品和支持

需要帐户?

创建帐户

配置基于MAC的访问控制表(ACL)和访问控制项(ACE)在一托管型交换机

下载选项

  • PDF     (683.7 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (609.5 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (545.2 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2018 年 12 月 13 日
文档 ID:SMB2580
关于翻译

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

目标

访问控制表(ACL)是用于的网络列表数据流过滤器和关联的操作改进安全。它阻塞或允许用户访问特定资源。ACL包含允许或对网络设备的拒绝访问的主机。媒体访问控制(MAC) -基于访问控制表(ACL)是允许或拒绝对流量的访问的使用第2层信息源MAC地址的列表。如果数据包自一无线接入点来到局域网端口或反之亦然,此设备检查数据包的源MAC地址是否匹配在此列表的任何条目并且根据帧的内容检查ACL规则。它然后使用匹配的结果允许或丢弃此数据包。然而,数据包从LAN到局域网端口不会被检查。访问控制项(ACE)包含实际访问规则标准。一旦ACE创建,应用对ACL。您应该使用访问列表为访问您的网络提供一个基本安全级别。如果不配置在您的网络设备的访问列表,通过通过交换机或路由器的所有信息包可能允许在您的网络的所有部分上。

此条款提供说明关于怎样配置基于MAC的ACL和ACE在您的托管型交换机。

可适用的设备

  • Sx350系列

  • SG350X系列

  • Sx500系列

  • Sx550X系列

软件版本

  • 1.4.5.02 — Sx500系列

  • 2.2.0.66 — Sx350系列, SG350X系列, Sx550X系列

配置基于MAC的ACL和ACE

配置基于MAC的ACL

步骤1.对基于Web的工具的登录然后去访问控制>基于MAC的ACL

步骤2.点击Add按钮

步骤3.在ACL名称字段输入新的ACL的名称。

步骤4.单击应用然后单击Close

步骤5. (可选)点击“Save”保存在启动配置文件的设置。

您应该当前配置在您的交换机的基于MAC的ACL。

配置基于MAC的ACE

当帧在端口时接收,交换机通过第一个ACL处理帧。如果帧匹配第一个ACL的ACE过滤器, ACE操作发生。如果帧不匹配ACE过滤器,下个ACL处理。如果匹配没有被找到对在所有相关ACL的任何ACE,默认情况下帧丢弃。

在此方案中, ACE将创建否决从特定用户定义的源MAC地址发送到所有目的地址的流量。

注意:此默认操作可以由允许所有流量低优先级ACE的创建避免。

第 1 步:在基于Web的工具上,去访问控制>基于MAC的ACE

重要信息:通过选择完全利用交换机的联机功能和功能,对Advanced模式的更改提前从显示模式下拉列表在页的右上角。

步骤2.从ACL名称下拉列表选择ACL然后单击

注意:为ACL已经配置的ACE在表里将显示。

步骤3.单击Add按钮添加新规则对ACL。

注意:ACL名称字段显示ACL的名称。

步骤4.在优先级字段输入ACE的优先级值。与一个更加高优先级的值的ACE首先处理。值1是最高优先级的。

步骤5. (可选)检查对启用日志匹配ACL规则的ACL流的启用日志复选框。

步骤6.点击对应于所需的动作采取的单选按钮,当帧满足ACE的需要的标准时。

注意:在本例中, Deny选择。

  • Permit —交换机转发满足ACE的需要的标准的数据包。

  • 拒绝—交换机丢弃满足ACE的需要的标准的数据包。

  • 关闭—交换机丢弃不满足ACE的需要的标准的数据包并且使数据包接收的端口无效。

注意:已禁用端口在端口设置页可以恢复活动。

步骤7. (可选)检查允许时间范围的启动时间范围检查复选框将配置对ACE。时间范围用于限制ACE有效的时间。

从时间范围名称下拉列表的步骤8. (可选),选择时间范围适用到ACE。

注意:您能单击编辑导航对和创建在时间范围页的时间范围。

步骤9.点击对应于ACE希望的标准在目标MAC地址地区的单选按钮。

选项有:

  • 其中任一—所有目标MAC地址适用于ACE。

  • 用户定义—输入将应用到ACE在目标MAC地址值目的地MAC通配符掩码字段的MAC地址和MAC通配符掩码。通配符掩码用于定义范围MAC地址。

注意:在本例中,其中任一选择。选择此选项意味着将创建的ACE将否决ACE流量。

步骤10.点击对应于ACE希望的标准在源MAC地址地区的单选按钮。

选项有:

  • 其中任一—所有源MAC地址适用于ACE。

  • 用户定义—输入将应用到ACE在源MAC地址值源MAC通配符掩码字段的MAC地址和MAC通配符掩码。通配符掩码用于定义范围MAC地址。

注意:在本例中,用户定义选择。

VLAN ID字段的步骤11. (可选),输入将匹配与帧的VLAN标记的VLAN ID。

步骤 12(可选)包括802.1p值在ACE标准,检查在802.1p复选框包括。802.1p介入技术业务类别(CoS)。Cos是使用区分流量的以太网帧的一个3位领域。

步骤 13如果802.1p值包括,请进入以下字段:

  • 802.1p值—输入将匹配的802.1p值。802.1p是给第二层交换机能力指定优先级流量和执行动态组播过滤的规格。值如下:

– 0 —背景。最少优先安排类似批量转发,比赛,等等的数据。

– 1 —尽力。需要在普通的LAN优先级的尽力传输的数据。网络在交付不提供任何保证,但是数据得到未指定比特率和交货时间根据流量。

– 2 —非常好努力。需要重要用户的最佳效果发送的数据。

– 3 —重要应用类似Linux虚拟服务器(LVS)电话会话初始化协议(SIP)。

– 4 —视频。延迟和抖动少于100毫秒。

– 5 —语音Cisco IP电话默认。延迟和抖动少于10毫秒。

– 6 —互联网络控制LVS电话实时传输协议(RTP)。

– 7 —网络控制。高需求通过维护和支持网络基础设施。

  • 802.1p掩码—输入802.1p值的通配符掩码。此通配符掩码用于定义范围802.1p值。

步骤 14(可选)请进入将匹配帧的以太网类型。以太网类型是使用指示的以太网帧的一个2八位字节字段哪份协议为帧的有效负载使用。

步骤 14单击应用然后单击Close。ACE创建并且关联对ACL名称。

步骤 15点击“Save”保存设置到启动配置文件。

您应该当前配置在您的交换机的基于MAC的ACE。

查看与此条款涉及的视频…

点击此处查看从Cisco的其他技术谈话

此文档是否有帮助?

Feedback反馈

联系我们

相关的思科社区讨论

本文档适用于以下产品