1、RG-NBS 系列POE交换机端口安全与ACL共用说明    

1）关于ACL和端口安全配置的规则冲突时，处理逻辑如下：

1.1 在没有开启端口安全功能时，配置ACL规则，ACL规则生效；

1.2 在没有配置ACL规则时，开启端口安全功能，并配置规则，端口安全规则生效；

1.3 配置ACL规则生效后，在同一端口下再配置端口安全规则，如果ACL与端口安全规则之间产生冲突，由于该端口先配置并应用ACL规则，交换机会执行ACL规则，不会执行端口安全规则；

1.4 在同一端口下先配置端口安全规则，再配置ACL规则，如果ACL与端口安全规则之间产生冲突，则先执行端口安全规则;

2）在ACL规则没有应用于端口时，端口安全最多能绑定197条规则。

RG-NBS 系列POE交换机策略控制表共有512条，以下功能会占用64条保留规则；

端口安全一条规则占用两条；

ACL规则中标准IP规则是占用一条；

扩展IP和扩展MAC规则每一条规则占用两条；

ACL最多占用442条，剩余表项为保留表项。

 

举例说明：

如ACL配置10条标准IP规则，配置于两个端口，占用策略控制表条目为11+11=22条。11条为10条配置的标准IP规则加上1条默认规则

如ACL配置10条扩展IP规则，配置于两个端口，占用策略控制表条目为21+21=42条。21条为10*2条配置的标准IP规则加上1条默认规则

注意：

除去ACL和端口安全、系统占用外， 防ARP欺骗、DHCP SNOOPING也会占用策略控制表条目。

防ARP欺骗、DHCP SNOOPING占用为一个规则占用一条。

 

 

2、RG-NBS 系列POE交换机访问控制支持标准IP规则、扩展IP规则、MAC规则

RG-NBS 系列POE交换机访问控制支持标准IP规则、扩展IP规则、扩展MAC规则，其中扩展IP规则支持根据协议及其端口号进行流控制，扩展MAC支持根据MAC协议类型进行控制

 

注意：

RG-NBS 系列POE交换机开启ACL功能后，配置的ACL规则中系统会自动在规则表最后配置一条规则deny any any的隐藏规则；

ACL规则中的掩码为通配符掩码，如指定IP地址范围为：192.168.1.0，通配符掩码设置为0.0.0.254，则此时符合规则的IP地址为192.168.1.2,192.168.1.4等

 

 

3、配置案例

配置要求：端口0/1允许IP地址为：192.168.100.101的PC上网；端口0/2允许IP地址为192.168.100.102的PC上网。

Ruijie#configure terminal

% Enter configuration commands, one per line.  End with CTRL+Z.

Ruijie(config)#ip access-list extended 10 ------>配置扩展IP

Ruijie(config-ext-ip-nacl)#permit ip host 192.168.100.101 any ------> 允IP：192.168.100.101的PC上网

Ruijie(config-ext-ip-nacl)#permit ip host 192.168.100.102 any ------>允IP：192.168.100.102的PC上网

Ruijie(config)#interface gigabitEthernet 0/1-0/2---进入0/1 和0/2

Ruijie(config-if-gigabitEthernet-range)#ip access-list 10 commit ------>在0/1和0/2端口上应用