S5130S-52P-EI 二层MAC ACL过滤
- 0关注
- 0收藏,45浏览
关键配置命令:
1. 创建MAC ACL,定义允许接入的终端MAC
acl number 3000 //MAC ACL编号范围3000-3999
rule 10 permit source-mac aa-bb-cc-dd-ee-01 ffff-ffff-ffff //允许第一个合法终端MAC
rule 20 permit source-mac aa-bb-cc-dd-ee-02 ffff-ffff-ffff //允许第二个合法终端MAC,可按需添加多条
rule 100 deny any //拒绝其他所有未授权MAC
quit
2. 将ACL应用到下连终端的二层接入接口
单接口配置:
interface GigabitEthernet1/0/1 //替换为实际终端接入接口
traffic-filter inbound acl 3000 //入方向过滤终端流量
quit
批量接口配置(如1-48口):
interface range GigabitEthernet1/0/1 to GigabitEthernet1/0/48
traffic-filter inbound acl 3000
quit
说明:接口需为Access模式(若未配置,需先执行port access vlan X指定终端所属VLAN)。
可以的
3 通过MAC地址过滤流量典型配置举例
3.1 组网需求
如图1所示,研发部和管理部中均部署了网络视频设备,这些视频设备的MAC地址为000f-e2xx-xxxx,现要求限制这些设备仅每天的8:30到18:00才能够向外网发送数据。
图1 通过MAC地址过滤流量配置组网图
3.2 使用版本
本举例是在S5130EI_E-CMW710-R3106版本上进行配置和验证的。
3.3 配置思路
在受限设备的IP地址不定时,可以通过MAC地址来进行匹配;而对于具有相同MAC地址前缀的多台设备,也可以通过MAC地址掩码的方式来进行同时匹配。
3.4 配置步骤
# 配置时间段time1,时间范围为每天的8:30~18:00。
<Device> system-view
[Device] time-range time1 8:30 to 18:00 daily
# 创建二层ACL 4000,定义规则为在time1时间段内允许源MAC地址前缀为000f-e2的所有报文通过,其他时间拒绝。
[Device] acl number 4000
[Device-acl-ethernetframe-4000] rule permit source-mac 000f-e200-0000 ffff-ff00-0000 time-range time1
[Device-acl-ethernetframe-4000] rule deny source-mac 000f-e200-0000 ffff-ff00-0000
[Device-acl-ethernetframe-4000] quit
# 配置包过滤功能,应用二层ACL 4000对端口GigabitEthernet1/0/1和GigabitEthernet1/0/2收到的报文进行过滤。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] packet-filter 4000 inbound
[Device-GigabitEthernet1/0/1] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] packet-filter 4000 inbound
[Device-GigabitEthernet1/0/2] quit
3.5 验证配置
# 执行display packet-filter命令查看包过滤功能的应用状态。
[Device] display packet-filter interface inbound
Interface: GigabitEthernet1/0/1
In-bound policy:
ACL 4000
Interface: GigabitEthernet1/0/2
In-bound policy:
ACL 4000
上述信息显示GigabitEthernet1/0/1和GigabitEthernet1/0/2端口上已经正确应用了包过滤功能。
在每天的8:30到18:00时间段内,视频设备可以正常与外网中的设备进行通信;在其它时间段内,视频设备无法与外网中的设备进行通信。
暂无评论
要在 H3C S5130S-52P-EI 交换机上实现基于 MAC 地址的接入控制,最直接且最适合批量或精确控制单个终端的方法是使用二层 ACL(即 MAC ACL)。
简单来说,我们需要先在设备上定义一份“白名单”ACL,然后将这份名单应用到具体的接口上。这样,只有名单内的设备才能通过该接口访问网络。
推荐方案:使用二层ACL实现MAC地址接入控制
此方案通过在接口上应用基于 MAC 地址的访问控制列表(ACL),实现“白名单”或“黑名单”功能,配置清晰且对设备性能影响小。
配置步骤如下:
1. 创建二层 ACL (编号4000-4999)
首先需要创建一个二层 ACL 来定义控制策略。这里以编号 4000 为例。
2. 定义规则(建议使用白名单模式)
在 ACL 中,定义“允许”(permit)和“拒绝”(deny)规则。更安全、更易维护的做法是使用“白名单”模式:先允许特定设备,再拒绝所有其他设备。
比如,要只允许MAC地址为 A0B1-C2D3-E4F5 和 1122-3344-5566 的终端接入,可以这样配置:
ffff-ffff-ffff表示掩码,全f代表精确匹配这个 MAC 地址。
3. 将 ACL 规则应用到端口
最后,需要将建好的 ACL 应用到你希望进行控制的物理端口上,方向为 inbound(入方向),意思是过滤进入交换机的流量。
例如,将 ACL 4000 应用到端口 GigabitEthernet1/0/1:
display acl mac 4000 查看配置的规则,或用 display packet-filter interface gigabitethernet 1/0/1 确认ACL的应用状态。暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论