- Каждый ACL содержит только 1 правило.
- Несколько ACL можно привязать к одному интерфейсу.
- Порядок отработки правил определяется по приоритету правила , указанному в ACL, при равенстве приоритетов - по номеру ACL.
- ACL автоматически снимается с интерфейса при изменении в нем правила.
- Максимальное число ACL – 100 IP/IPv6 и 100 MAC.
- На данный момент поддерживается только входящее направление на интерфейсах(in).
- В стандартных IP ACL возможна фильтрация только по префиксам, в расширенных ACL – по дополнительным параметрам.
- После того, как любой ACL будет привязан к интерфейсу, для этого интерфейса применится правило
implicit deny any any.
Пример настройки фильтрации padi/pado через User-defined offset:
console(config)# user-defined offset 1 ethtype 0
console(config)# mac access-list extended 1
console(config-ext-macl)# deny 00:00:00:00:00:01 ff:ff:ff:ff:ff:00 any user-defined offset1 0x8863 0xffff
console(config-ext-macl)# ex
console(config)# interface gigabitethernet 0/1
console(config-if)# mac access-group 1 in
Для прохождения остальных пакетов на интерфейсе требуется добавить второй ACL, разрешающий прохождение пакетов, не попадающих под правило фильтрации padi/pado:
console(config)# mac access-list extended 2
console(config-ext-macl)# permit any any
console(config-ext-macl)# ex
console(config)# interface gigabitethernet 0/1
console(config-if)# mac access-group 2 in