18.5.3 配置 EtherType 访问列表
EtherType 访问列表由一条以上 ACE 构成,用于指定 EtherType。 EtherType 规则借助 16
位十六进制数值控制 EtherType 标识,与控制其他类型的通信一样。配置 EtherType 访问列表
分为两个步骤,即先通过添加 ACE 创建一个访问列表并为其指定名称,然后,再将访问列表
应用至一个接口。
1. 配置策略和限制
配置 EtherType 访问列表,应当遵循以下策略和限制:
在单一模式和多环境模式下均有效。
只支持透明防火墙模式。
对 EtherType 访问列表而言,在列表最后时为隐示禁止,不影响 IP 传输或 ARP。例
如,如果允许 EtherType 8037,在访问列表最后隐示拒绝,不会马上阻止任何事先在
扩展访问表列中允许的 IP 通信(或者隐示允许从高安全接口至低安全接口)。不过,
如果在 EtherType ACE 中明确拒绝了所有通信,那么 IP 和 ARP 通信将被禁止。
802.3 格式帧不会被访问列表操作,因为它们使用的长字段与字段类型有冲突。
2. 添加 EtherType 访问列表
添加一个 EtherType ACE。
access-list access_list_name ethertype {deny | permit} {ipx | bpdu | mpls-unicast
| mpls-multicast | is-is | any | hex_number}
其中,
access_list_name 用于指定访问列表的名称或号码。当指定访问列表名称时, ACE 添加至
该访问列表最后。 access_list_name 命名时最好采用大写字母,以便于在配置文件中查看和搜
索。当然,也可以以应用该访问列表的接口(如 INSIDE)或目的(如 MPLS 或 PIX)作为访
问列表的名称。
premit 关键字表明,如果条件匹配则允许访问。
deny 关键字表明,如果条件匹配则拒绝访问。如果 EtherType 访问列表配置为禁用所有通
信,所有以太网帧将被丢弃。只有物理协议通信(如自协商)仍然被允许。
ipx 关键字指定访问 IPX。
bpdu 关键字指定访问 BPDU( Bridge Protocol Data Units,桥协议数据单元),默认为允许。
mpls-unicast 关键字指定访问 MPLS 单播。
mpls-multicast 关键字指定访问 MPLS 多播。
is-is 关键字指定访问 IS-IS 通信。
any 关键字指定访问任意通信。
hex_number 表示能够以大于或等于 0x600 十六进制数标识的 EtherType。
3. EtherType 访问列表配置示例
允许一些 EtherType 通过 ASA,只拒绝 IPX。
hostname(config)# access-list ETHER ethertype deny ipx
hostname(co