interface GigabitEthernet1/0/1
port link-mode bridge
combo enable fiber
packet-filter mac 4999 inbound
packet-filter 2999 inbound
packet-filter 2999 outbound
如配置所示,接口下应用了两个ACL,一个mac acl,一个普通acl,这样匹配的顺序如何,会不会和ip-source guard 和包过滤一样有冲突?
不涉及组网
(0)
最佳答案
接口同时应用包过滤3333和4000,先匹配二层 mac的acl,再匹配高级的acl。
如果mac acl 匹配为允许,继续匹配 高级的acl;
如果mac acl匹配为丢弃,不再匹配 高级的acl;
参考:https://zhiliao.h3c.com/Theme/details/220535
(0)
您好,可以的,按顺序匹配
(0)
我是配置上去以后复制的配置,就按照配置里的上下顺序匹配吗,如图先匹配mac的4999,再匹配2999
我是配置上去以后复制的配置,就按照配置里的上下顺序匹配吗,如图先匹配mac的4999,再匹配2999
MAC ACL和普通ACL可以同时在接口下生效,但是它们的匹配顺序和处理方式有所不同。
1.MAC ACL是基于MAC地址的二层ACL,它可以对通过接口的数据帧进行过滤,只有当数据帧的源MAC地址或目的MAC地址与MAC ACL中的规则匹配时,才会执行相应的动作(允许或拒绝)。
2.普通ACL是基于IP地址的三层ACL,它可以对通过接口的数据包进行过滤,只有当数据包的源IP地址或目的IP地址与普通ACL中的规则匹配时,才会执行相应的动作(允许或拒绝)。
3.在接口上同时配置了MAC ACL和普通ACL时,交换机会先对数据帧进行MAC ACL的匹配,如果匹配成功,则执行MAC ACL的动作,如果匹配失败,则继续对数据包进行普通ACL的匹配,如果匹配成功,则执行普通ACL的动作,如果匹配失败,则默认拒绝该数据帧。
MAC ACL和普通ACL不会和IP source guard和包过滤产生冲突,因为它们的作用范围和目的不同。
IP source guard是一种防止IP地址欺骗的安全功能,它可以根据IP-MAC绑定表或DHCP snooping绑定表来限制接口上的IP地址来源,只允许绑定表中的IP地址通过接口,否则将被丢弃。
包过滤是一种防止网络攻击的安全功能,它可以根据预定义的过滤规则来检测和拦截接口上的异常数据包,如ARP欺骗、IP碎片、IP选项等,从而保护网络设备和用户的安全。
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明