二层acl在同一设备上可以跨网段使用

二层acl在同一设备上可以跨网段使用

连终端的是0口，作为终端网关；连公网的是1口。在公网出接口做二层出方向包过滤，换句话来说终端访问公网流量在没有出设备之前，源mac依然是终端mac

interface GigabitEthernet0/1

port link-mode route

combo enable copper

ip address 2.2.2.1 255.255.255.0

dis acl mac 4000

MAC ACL 4000, 1 rule,

ACL's step is 5

rule 0 deny source-mac 68bd-859b-0105 ffff-ffff-ffff (5 times matched)

<H3C>dis arp

  Type: S-Static   D-Dynamic   O-Openflow   R-Rule   M-Multiport  I-Invalid

IP address      MAC address    VID        Interface/Link ID        Aging Type

2.2.2.2         68bc-6af1-0305 N/A        GE0/1                    19    D   

1.1.1.1         68bd-859b-0105 N/A        GE0/0                    1     D            //终端mac