API Guide
源 MAC 数据包地
址
MAC 地址范围 — 以 3x4 点分隔的十六进制表示法表示的地址掩码,而 any 表示规则匹配所有源地址。
目标 MAC 数据包
地址
MAC 地址范围 — 以 3x4 点分隔的十六进制表示法表示的地址掩码,而 any 表示规则匹配所有目标地址。
数据包协议
通过 EtherType 字段内容设置并为所有协议分配协议号。
VLAN ID
在数据包标头中设置
服务类别 显示在数据包标头中
IPv4/IPv6 和 MAC ACL 分别适用于入站和出站数据包。您可以为多个 ACL 分配接口,每个 ACL 类型的每个数据包方向限制为一个
ACL。
Identifier GUID-301D3C8D-7D20-4010-8974-2C30A810D917
Version 3
Status Translation approved
控制平面 ACL
OS10 提供了控制平面 ACL 以选择性地限制发往 CPU 端口的数据包,从而提供更高的安全性。控制平面 ACL 提供:
• 用于保护 CPU 拒绝服务 (DoS) 攻击的选项。
• 精细控制以允许或阻止进入 CPU 的流量。
控制平面 ACL 适用于前面板和管理端口。控制平面 ACL 是以下类型之一:
• IP ACL
• IPv6 ACL
• MAC ACL
注: MAC ACL 仅应用于通过前面板端口输入的数据包。
没有隐式拒绝规则。如果配置的条件均不匹配,则默认行为将允许。如果您需要拒绝与任何配置的条件不匹配的流量,请明确配置
拒绝语句。
控制平面 ACL 与 VTY ACL(管理 ACL)相互排斥。VTY ACL 为会话连接协议(如 SSH 或 TELNET)提供安全访问权限;但是,控制
平面 ACL 允许或拒绝任何 TCP 或 UDP,包括从特定主机和网络进行 SSH 和 TELNET 会话,同时还会同时筛选 IPv4 和 IPv6 流量。
配置控制平面 ACL
要配置控制平面 ACL,请使用现有的 ACL 模板,并根据需要创建适当的规则以允许或拒绝流量,类似于为 VTY ACL 创建访问列表。
但是,当您应用此控制平面 ACL 时,您必须将其应用于控制平面模式而不是 VTY 模式。例如:
OS10# configure terminal
OS10(config)# control-plane
OS10(config-control-plane)# ip access-group acl_name in
其中 acl_name 是控制平面 ACL 的名称,最多为 140 个字符。
注: 仅在入口流量上应用控制平面 ACL。
Identifier GUID-F880ABE6-C7E0-4CEB-AF72-41D2E37B5D35
Version 4
Status Translation approved
控制平面 ACL 限定符
本部分列出了支持的控制平面 ACL 规则限定符。
注: OS10 仅支持下面列出的限定符。确保在 ACL 规则中仅使用这些限定符。
• IPv4 限定符:
• DST_IP — 目标 IP 地址
• SRC_IP — 源 IP 地址
• IP_TYPE — IP 类型
• IP_PROTOCOL — TCP、UDP 等协议
1058
访问控制列表