目录
00 全局网段策略ACL
场景描述
在高校或企业SDN应用场景中,需要基于网段应用ACL,将ACL直接应用于全局,基于源IP或者网段策略生效,下方章节介绍的隔离策略都使用全局网段策略ACL实现。
工作原理
在设备上配置IP访问列表,添加基于源IP或者网段的规则,并全局应用生效。用户在WEB认证或者DOT1X认证后通过用户组信息获取对应网段的IP地址,实现基于网段ACL对用户的策略控制。如果想让某些端口不受全局网段策略ACL的控制,可以在这些接口上独立开启全局网段策略例外口功能。
网段策略ACL仅支持默认in方向的应用;
网段策略ACL不受到全局ACL例外口配置限制,配置例外口后全局网段策略ACL仍然生效;
网段策略ACL可以在二层口上生效,也可以在路由口上生效。即可以在以下类型的端口上都生效:acess、 trunk、 hibird、 路由口、ap口(二层或三层)。在SVI口和ap成员口上不生效。
网段策略ACL只支持关联IP标准ACL或者IP扩展ACL,设备只允许应用一条ACL基于网段策略生效。