Leaflet
1-62
思科 ASA 系列命令参考,A 至 H 命令
第 1 章 aaa accounting command 至 accounting-server-group 命令
access-list ethertype
注 对于 EtherType ACL,在 ACL 末尾的隐式拒绝不影响 IP 流量或 ARP ;例如,如果允许 EtherType
8037,则在 ACL 末尾的隐式拒绝当前不拦截之前使用扩展的 ACL 允许的任何 IP 流量(或从较高
安全接口到较低安全接口隐式允许的 IP 流量)。但是,如果明确拒绝具有 EtherType ACE 的所有
流量,则拒绝 IP 和 ARP 流量;仍仅允许物理协议流量,例如自动协商。
支持的 EtherType 和其他流量
EtherType 规则控制以下方面:
• 一个 16 位十六进制数字标识的 EtherType,包括常见类型 IPX 和 MPLS 单播或组播。
• 以太网 V2 帧。
• 默认情况下允许的 BPDU。BPDU 为 SNAP 封装,且 ASA 专为处理 BPDU 而设计。
• 中继端口(思科专有)BPDU。中继 BPDU 在负载内包含 VLAN 信息,因此如果允许
BPDU,则 ASA 使用传出 VLAN 修改负载。
• 中间系统到中间系统 (IS-IS)。
不支持以下类型的流量:
• 802.3 格式化帧 - 规则不处理这些帧,因为它们使用不同于类型字段的长度字段。
返回流量的访问规则
由于 EtherType 是无连接的,如果希望流量在两个方向传递,您需要将规则应用于两个接口。
允许 MPLS
如果允许 MPLS,请确保通过配置连接到 ASA 的两个 MPLS 路由器以将 ASA 接口上的 IP 地址用
作 LDP 或 TDP 会话的路由器 ID,来通过 ASA 建立标签分发协议和标记分发协议 TCP 连接。
(LDP 和 TDP 允许 MPLS 路由器协商用于转发数据包的标签(地址)。)
在思科 IOS 路由器上,输入您的协议、LDP 或 TDP 的相应命令。接口是连接到 ASA 的接口。
ciscoasa(config)# mpls ldp router-id interface force
或
ciscoasa(config)# tag-switching tdp router-id interface force
示例 以下示例展示如何添加 EtherType ACL:
ciscoasa(config)# access-list ETHER ethertype permit ipx
ciscoasa(config)# access-list ETHER ethertype permit bpdu
ciscoasa(config)# access-list ETHER ethertype permit mpls-unicast
ciscoasa(config)# access-group ETHER in interface inside
相关命令
命令 说明
access-group
将 ACL 与接口绑定。
clear access-group
清除 ACL 计数器。
clear configure
access-list
从正在运行的配置中清除 ACL。
show access-list
按编号显示 ACL 条目。
show running-config
access-list
显示当前正在运行的访问列表配置。