交换机．路由器．防火墙-技术提升【7.5】

18.5.3 配置 EtherType 访问列表

EtherType 访问列表由一条以上 ACE 构成，用于指定 EtherType。 EtherType 规则借助 16
位十六进制数值控制 EtherType 标识，与控制其他类型的通信一样。配置 EtherType 访问列表
分为两个步骤，即先通过添加 ACE 创建一个访问列表并为其指定名称，然后，再将访问列表
应用至一个接口。
1. 配置策略和限制
配置 EtherType 访问列表，应当遵循以下策略和限制：
 在单一模式和多环境模式下均有效。
 只支持透明防火墙模式。
 对 EtherType 访问列表而言，在列表最后时为隐示禁止，不影响 IP 传输或 ARP。例
如，如果允许 EtherType 8037，在访问列表最后隐示拒绝，不会马上阻止任何事先在
扩展访问表列中允许的 IP 通信（或者隐示允许从高安全接口至低安全接口）。不过，
如果在 EtherType ACE 中明确拒绝了所有通信，那么 IP 和 ARP 通信将被禁止。
 802.3 格式帧不会被访问列表操作，因为它们使用的长字段与字段类型有冲突。
2. 添加 EtherType 访问列表
添加一个 EtherType ACE。
access-list access_list_name ethertype {deny | permit} {ipx | bpdu | mpls-unicast
| mpls-multicast | is-is | any | hex_number}
其中，
access_list_name 用于指定访问列表的名称或号码。当指定访问列表名称时， ACE 添加至
该访问列表最后。 access_list_name 命名时最好采用大写字母，以便于在配置文件中查看和搜
索。当然，也可以以应用该访问列表的接口（如 INSIDE）或目的（如 MPLS 或 PIX）作为访
问列表的名称。
premit 关键字表明，如果条件匹配则允许访问。
deny 关键字表明，如果条件匹配则拒绝访问。如果 EtherType 访问列表配置为禁用所有通
信，所有以太网帧将被丢弃。只有物理协议通信（如自协商）仍然被允许。
ipx 关键字指定访问 IPX。
bpdu 关键字指定访问 BPDU（ Bridge Protocol Data Units，桥协议数据单元），默认为允许。
mpls-unicast 关键字指定访问 MPLS 单播。
mpls-multicast 关键字指定访问 MPLS 多播。
is-is 关键字指定访问 IS-IS 通信。
any 关键字指定访问任意通信。
hex_number 表示能够以大于或等于 0x600 十六进制数标识的 EtherType。
3. EtherType 访问列表配置示例
允许一些 EtherType 通过 ASA，只拒绝 IPX。
hostname(config)# access-list ETHER ethertype deny ipx
hostname(co