Инструкция по эксплуатации Dell PowerConnect 6024
Страница 274
специальные действия
, которые выполняются с каждым пакетом, который попадает по классификации в эту группу. Списки ACL разрешает следующие
действия
:
l
пересылка
;
l
запрет
;
l
запрет и отключение порта
.
Списки
ACL используются для следующих основных целей.
l
В качестве механизма обеспечения безопасности
, разрешающего или запрещающего попадание пакетов в группу. Этот механизм описан в
разделе
, посвященном безопасности сети.
l
В качестве механизма классификации пакетов по классам трафика
, для которых выполняются различные действия CoS/QoS.
Списки
ACL содержат множество классификационных правил и действий. Элемент управления доступом (ACE) состоит из одного классификационного
правила и соответствующего действия
. Один список ACL может содержать один или несколько элементов ACE.
Последовательность элементов
ACE внутри списка ACL является важной, поскольку они применяются по методу первого подходящего. Элементы ACE
обрабатываются последовательно
, начиная с первого элемента ACE. Если пакет совпадает с классификацией ACE, выполняется действие ACE, и
обработка списка
ACLACL прекращается. Если требуется обработать несколько списков ACL, то действие по умолчанию применяется только после
обработки всех этих списков
. При использовании настройки отбрасывания трафика по умолчанию пользователю требуется в явном виде разрешить
весь разрешенный трафик
, включая трафик управления, например telnet, HTTP или SNMP, который передается на сам маршрутизатор.
Можно определить два типа списков
ACL.
l
IP ACL - применяется только к пакетам IP. Все поля классификации связаны с IP-пакетами.
l
MAC ACL - применяется к любому пакету, включая пакеты, не являющиеся IP-пакетами. Поля классификации основаны только на полях Layer 2.
Списки
ACL можно применить для интерфейса двумя способами:
l
Policy (Политика) - в этой форме списки ACL группируются вместе в более сложную структуру, называемую политикой. Политика может
содержать как списки
ACL, так и правила качества обслуживания (QoS). Пользователь может применять политику для интерфейса (см. раздел
«
).
l
Simple (Простой) - в простой форме для интерфейса применяется один список ACL (MAC или IP). Несмотря на то, что политику нельзя применять
для интерфейса
, можно применить основные правила качества обслуживания (QoS), которые выполняют классификацию пакетов по очередям
вывода
(см. раздел «
).
Привязка к очередям
Можно выбрать поведение доверия или выбрать поля службы вывода
, включая:
l
VLAN Priority Tags (VPT) (Метки приоритета VLAN) - метки VPT привязываются к очередям вывода на основе VPT. Сопоставление очередям
может настраивать пользователь
. По умолчанию используется следующее сопоставление меток VPT очередям вывода. Queue 1 (Очередь 1)
имеет самый низкий приоритет
, как показано в следующей таблице.
Таблица
10-1. Таблица сопоставления VPT по умолчанию
l
802.1p Port-Based (802.1p на основе портов) - для непомеченных при поступлении пакетов по умолчанию назначается метка VPT по
Значение
VPT
Номер очереди
0
3
1
1
2
2
3
4
4
5
5
6
6
7
7
8
ПРИМЕЧАНИЕ
.
Сопоставление метки
VPT с очередью вывод выполняется по всей системе и может включаться или отключаться для каждого
порта отдельно
.