Chuyển đổi là chức năng của Lớp 2 và loại ACL bạn muốn tạo phải hoạt động trên Lớp 3, lớp IP có địa chỉ IP và số Cổng.
Vì vậy "một Tiêu chuẩn cách giới hạn lưu lượng giữa các cổng trên bộ chuyển mạch Ethernet được quản lý" không tồn tại.
Phải nói rằng, nhiều bộ chuyển mạch L2 được quản lý có nhiều khả năng hơn nhưng không có cách cấu hình tiêu chuẩn/phổ quát nào cho chúng.
Lưu ý rằng biểu dữ liệu cho thiết bị của bạn đề xuất rằng L3 ACL được hỗ trợ trong phần cứng của bạn: https://ww1.microchip.com/downloads/en/DeviceDoc/KSZ9897R-Data-Sheet-DS00002330D.pdf nói như sau:
mục §4.4.16 LỌC DANH SÁCH KIỂM SOÁT TRUY CẬP (ACL)
Có thể tạo Danh sách điều khiển truy cập (ACL) cho mỗi cổng để thực hiện lọc trên MAC lớp 2, IP lớp 3 hoặc
gói TCP/UDP lớp 4. Lọc Multicast được xử lý trong Bảng địa chỉ tĩnh và Địa chỉ Multicast dành riêng
Table, nhưng ACL cung cấp các khả năng bổ sung để lọc các giao thức mạng được định tuyến. Như trong Hình 4-3, ACL
lọc có thể được ưu tiên hơn các chức năng chuyển tiếp khác.
ACL cho phép switch lọc lưu lượng truy cập dựa trên các trường tiêu đề sau:
- Địa chỉ MAC nguồn hoặc đích và/hoặc EtherType
- Địa chỉ IPv4 nguồn hoặc đích với mặt nạ có thể lập trình
- giao thức IPv4
- Cổng UDP nguồn hoặc đích
- Cổng TCP nguồn hoặc đích
- Cờ TCP với mặt nạ có thể lập trình
ACL được triển khai dưới dạng danh sách có thứ tự gồm tối đa 16 quy tắc kiểm soát truy cập được lập trình trong Bảng ACL.
Mỗi mục chỉ định các quy tắc nhất định (một tập hợp các điều kiện phù hợp và quy tắc hành động) để kiểm soát việc chuyển tiếp và mức độ ưu tiên
của gói tin. Khi một gói được nhận trên một giao diện, công tắc sẽ so sánh các trường trong gói với bất kỳ trường nào được áp dụng
ACL để xác minh rằng gói có các quyền cần thiết để được chuyển tiếp, dựa trên các điều kiện được chỉ định trong
danh sách. Nhiều điều kiện đối sánh có thể là AND'ed hoặc OR'ed cùng nhau.
Mặc dù vậy, không có ý tưởng làm thế nào bạn thực sự có thể sử dụng nó.
