1. Каждый ACL содержит только 1 правило.
2. Несколько ACL можно привязать к одному интерфейсу.
3. Порядок отработки правил определяется по приоритету правила , указанному в ACL, при равенстве приоритетов - по номеру ACL.
4. ACL автоматически снимается с интерфейса при изменении в нем правила.
5. Максимальное число ACL – 100 IP/IPv6 и 100 MAC.
6. На данный момент поддерживается только входящее направление на интерфейсах (in).
7. В стандартных IP ACL возможна фильтрация только по префиксам, в расширенных ACL – по дополнительным параметрам.
8. При создании расширенного ACL в нем по умолчанию содержится правило permit ip any any, если не применить другое.
9. После того, как любой ACL будет привязан к интерфейсу, для этого интерфейса применится правило implicit deny any any.
Пример настройки фильтрации пакета с Destination IP 192.168.1.100:
console(config)# ip access-list extended 1001
console(config-ext-nacl)# deny ip any 192.168.1.100 255.255.255.255
console(config-ext-nacl)# exit
console(config)# interface gigabitethernet 0/1
console(config-if)# ip access-group 1001 in
Для прохождения остальных пакетов на интерфейсе требуется добавить второй ACL, разрешающий прохождение пакетов:
console(config)# ip access-list extended 1002
console(config-ext-nacl)# permit ip any any
console(config-ext-nacl)# exit
console(config)# interface gigabitethernet 0/1
console(config-if)# ip access-group 1002 in
Комментарии (11)