可以的
如图1所示,研发部和管理部中均部署了网络视频设备,这些视频设备的MAC地址为000f-e2xx-xxxx,现要求限制这些设备仅每天的8:30到18:00才能够向外网发送数据。
图1 通过MAC地址过滤流量配置组网图

本举例是在S5130EI_E-CMW710-R3106版本上进行配置和验证的。
在受限设备的IP地址不定时,可以通过MAC地址来进行匹配;而对于具有相同MAC地址前缀的多台设备,也可以通过MAC地址掩码的方式来进行同时匹配。
# 配置时间段time1,时间范围为每天的8:30~18:00。
<Device> system-view
[Device] time-range time1 8:30 to 18:00 daily
# 创建二层ACL 4000,定义规则为在time1时间段内允许源MAC地址前缀为000f-e2的所有报文通过,其他时间拒绝。
[Device] acl number 4000
[Device-acl-ethernetframe-4000] rule permit source-mac 000f-e200-0000 ffff-ff00-0000 time-range time1
[Device-acl-ethernetframe-4000] rule deny source-mac 000f-e200-0000 ffff-ff00-0000
[Device-acl-ethernetframe-4000] quit
# 配置包过滤功能,应用二层ACL 4000对端口GigabitEthernet1/0/1和GigabitEthernet1/0/2收到的报文进行过滤。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] packet-filter 4000 inbound
[Device-GigabitEthernet1/0/1] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] packet-filter 4000 inbound
[Device-GigabitEthernet1/0/2] quit
# 执行display packet-filter命令查看包过滤功能的应用状态。
[Device] display packet-filter interface inbound
Interface: GigabitEthernet1/0/1
In-bound policy:
ACL 4000
Interface: GigabitEthernet1/0/2
In-bound policy:
ACL 4000
上述信息显示GigabitEthernet1/0/1和GigabitEthernet1/0/2端口上已经正确应用了包过滤功能。
在每天的8:30到18:00时间段内,视频设备可以正常与外网中的设备进行通信;在其它时间段内,视频设备无法与外网中的设备进行通信。
暂无评论
要在 H3C S5130S-52P-EI 交换机上实现基于 MAC 地址的接入控制,最直接且最适合批量或精确控制单个终端的方法是使用二层 ACL(即 MAC ACL)。
简单来说,我们需要先在设备上定义一份“白名单”ACL,然后将这份名单应用到具体的接口上。这样,只有名单内的设备才能通过该接口访问网络。
此方案通过在接口上应用基于 MAC 地址的访问控制列表(ACL),实现“白名单”或“黑名单”功能,配置清晰且对设备性能影响小。
配置步骤如下:
1. 创建二层 ACL (编号4000-4999)
首先需要创建一个二层 ACL 来定义控制策略。这里以编号 4000 为例。
2. 定义规则(建议使用白名单模式)
在 ACL 中,定义“允许”(permit)和“拒绝”(deny)规则。更安全、更易维护的做法是使用“白名单”模式:先允许特定设备,再拒绝所有其他设备。
比如,要只允许MAC地址为 A0B1-C2D3-E4F5 和 1122-3344-5566 的终端接入,可以这样配置:
ffff-ffff-ffff 表示掩码,全 f 代表精确匹配这个 MAC 地址。
3. 将 ACL 规则应用到端口
最后,需要将建好的 ACL 应用到你希望进行控制的物理端口上,方向为 inbound(入方向),意思是过滤进入交换机的流量。
例如,将 ACL 4000 应用到端口 GigabitEthernet1/0/1:
display acl mac 4000 查看配置的规则,或用 display packet-filter interface gigabitethernet 1/0/1 确认ACL的应用状态。暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论