一、题目
二层ACL可以匹配源MAC,目的MAC,源IP,目的IP等信息。
A. 对
B. 错
二、答案
B
三、解析
二层ACL(Access Control List)只能匹配源MAC地址和目的MAC地址,而不能匹配IP地址。二层ACL通常用于基于MAC地址的流量过滤和访问控制,主要针对数据链路层(第二层)的数据进行过滤。因此,它只能检查和过滤数据包的源MAC地址和目的MAC地址,而不能检查IP地址信息。
所以答案是B。
四、扩展 — 二层ACL
ACL(Access Control List)二层,也称为二层ACL,是一种用于网络设备(如交换机、路由器)的访问控制列表,用于在数据链路层(第二层)上进行流量过滤和访问控制。二层ACL主要基于源MAC地址和目的MAC地址来过滤数据包,通常用于局域网内部或数据中心网络中,以实现对局域网流量的控制和安全策略的实施。以下是二层ACL的介绍:
1. 功能:
- 流量过滤:二层ACL可以根据预先配置的策略,过滤进出交换机接口的数据包,允许或拒绝特定MAC地址之间的通信。
- 访问控制:可以限制特定MAC地址之间的通信,实现网络资源的保护和访问控制。
- 安全策略实施:可以根据网络安全策略,对局域网内的流量进行控制和管理,防止未经授权的访问和攻击。
2. 配置和应用:
- 匹配条件:二层ACL主要基于源MAC地址和目的MAC地址来匹配和过滤数据包,也可以包括VLAN号、以太网类型等条件。
- 动作:可以配置允许、拒绝或丢弃匹配的数据包,以执行相应的访问控制策略。
- 应用范围:二层ACL通常应用在交换机的端口上,以控制局域网内部流量的访问。
3. 限制和局限性:
- 局限于MAC地址:由于二层ACL主要基于MAC地址进行过滤,因此无法检查和过滤IP地址、端口等高层协议信息。
- 性能影响:过多的二层ACL条目可能会影响交换机的性能,特别是对于低端或老旧设备。
- 不适用于跨VLAN通信:二层ACL只适用于同一个VLAN内的通信,对于跨VLAN通信,需要使用三层ACL(基于IP地址)或其他安全控制方法。
4. 示例应用场景:
- 限制内部通信:限制特定MAC地址之间的通信,防止内部网络中的恶意行为或非授权访问。
- 隔离敏感流量:将敏感数据流量隔离在专用VLAN中,并配置二层ACL以限制对该VLAN的访问。
- 限制设备接入:通过配置二层ACL,控制特定MAC地址设备的接入权限,以确保网络安全和资源的合理使用。