ER3208G3带2台AP3000C-U，如何设置接入设备的MAC地址过滤功能？

你是指这个吗？

https://www.h3c.com/cn/d_202603/2775973_30005_0.htm#_Toc223618935

1.4  MAC地址过滤

1. 功能简介

如果您希望对某些设备发送过来的报文进行限制（允许或禁止其通过），则可以在VLAN接口上配置MAC地址过滤功能。

过滤方式有如下两种：

·     允许访问外网：在指定的VLAN接口下，仅允许名单内的源MAC地址访问外网，其余禁止访问。

·     禁止访问外网：在指定的VLAN接口下，仅禁止在名单内的源MAC地址访问外网，其余允许访问。

2. 注意事项

·     如果需要在管理员终端连接的接口上开启MAC地址过滤功能，请先确保管理员的终端MAC地址已添加至允许访问外网名单，或未添加到禁止访问外网名单。

·     MAC地址中的英文字符不区分大小写。

3. 配置步骤

页面向导：网络安全→MAC过滤

4. 参数解释

表11-9 页面参数描述

在 ER3208G3 的 Web 管理页面中，该功能确实存在，其配置位置和逻辑与家用路由器有所不同。

你需要找的功能是 MAC 地址过滤，而非家用路由器常见的“无线 MAC 地址过滤”，这是导致你感到困惑的根本原因。企业级路由器通常将此功能放在 网络安全 菜单下。

 核心操作：MAC地址过滤配置步骤

1. 登录设备：登录 ER3208G3 的 Web 管理界面。

2. 导航到功能：在左侧导航树中，找到并点击 网络安全 > MAC地址过滤 菜单项。

3. 开启过滤功能：

   • 在 “MAC过滤设置” 页签下，先勾选 “开启MAC地址过滤” 选项。

   • 然后，在接口列表中，找到连接 AP 的 LAN 口（或对应 VLAN 接口），为其选择一种过滤方式：

     • 白名单（推荐）：行为是“仅允许列表中的 MAC 地址访问外网，其余禁止访问”，适用于仅允许已知设备上网的场。

     • 黑名单：行为是“仅禁止列表中的 MAC 地址访问外网，其余允许访问”，适用于仅想拉黑个别设备的场景。

   • 在同一行的“开启和关闭”列中勾选 “开启”，最后点击页面上的 “应用” 按钮，使配置生效。

4. 添加MAC地址列表：

   • 切换到 “MAC黑白名单管理” 页签，然后根据上一步选择的过滤方式，点击进入 “白名单” 或 “黑名单” 页面。

   • 点击 “添加” 按钮，在弹出的对话框中输入设备的 MAC 地址（格式如 00:11:22:33:44:55）和描述，点击 “确定” 即可。

   • 快捷操作：你也可以使用 从ARP表项导入 功能，从已连接设备中快速批量导入 MAC 地址。

 关于 mini AP 的“无线接入控制”说明

你提到的“设置MAC地址接入miniAP的地方”，可能指 无线接入控制，这与上述的 MAC地址过滤 是两个不同层面的控制：

• MAC地址过滤（你已找到）：工作在网络层，设备即使连上 WiFi 获得了 IP 地址，但因 MAC 地址不在白名单内，所有上网流量会被路由器拦截。

• 无线接入控制（你找不到的）：工作在无线链路层，不允许非法设备连接到 WiFi。对于 ER3208G3 这种“网关”加“Fit AP”的组网，更高级的无线接入控制（如 MAC 认证）通常不在路由器本地页面配置。

如果需要实现 “非白名单设备禁止连接WiFi信号” 这一类的功能，通常需要通过以下方式：

• 使用 H3C 的 绿洲云平台，对网络中的 mini AP 进行统一配置和管理。

• 为业务网络启用如企业级 WPA2-Enterprise 等更高级的无线安全机制。

一、先澄清：你找不到 “AP 接入过滤” 的原因

• ER3208G3 的 Web 界面：安全专区→接入控制→MAC 过滤，这个是控制终端能否上网（过路由器的流量），不是 “能否连 WiFi”。
• 控制无线终端能不能连 AP（接入层），必须在 AP 模板 / SSID 里配置，不在路由器全局 MAC 过滤里。
• 你的组网：ER3208G3（内置 AC）+ AP3000C-U（Mini AP），无线 MAC 接入过滤要在 ER 的 “无线管理→模板” 里配置。

二、正确配置：在 ER 上给 AP 的 SSID 开 MAC 接入过滤（关键）

1. 进入无线管理（ER3208G3）

1. 浏览器登录 ER3208G3（默认 192.168.1.1）；
2. 菜单进入：无线管理 → 无线服务模板（或 “SSID 模板”）；
3. 找到你给 AP3000C-U 用的 SSID 模板（比如默认 “HW-XXXX” 或你自定义的），点编辑。

2. 在 SSID 模板里开启 “无线 MAC 过滤”（核心）

• 接入控制 → MAC 地址过滤（有的版本叫 “无线接入控制”）；
• 勾选：启用无线 MAC 地址过滤；
• 过滤类型选：
  • 白名单（推荐）：仅允许列表内 MAC 连 WiFi，其他全拒绝（最安全）；
  • 黑名单：禁止列表内 MAC，其他都能连。

3. 添加允许接入的终端 MAC（白名单示例）

1. 点添加；
2. 输入终端无线 MAC（格式：XX-XX-XX-XX-XX-XX 或 XXXXXXXXXXXX）；
3. 描述备注（如 “手机 - 张三”）；
4. 保存。
   

4. 绑定模板到 AP 并下发配置

1. 回到：无线管理 → AP 管理；
2. 选中两台 AP3000C-U；
3. 应用刚才编辑好的带 MAC 过滤的 SSID 模板；
4. 点下发配置，等待 AP 重启生效。

三、补充：全局 MAC 上网过滤（你现在看到的功能）

1. 菜单：安全专区 → 接入控制 → MAC 过滤；
2. 勾选：启用 MAC 地址过滤；
3. 选类型（白 / 黑名单），添加 MAC；
4. 应用。
   

四、常见坑（你大概率遇到的）

1. 版本问题：ER3208G3 0174P03 老版本，无线模板的 MAC 过滤入口可能叫 “接入控制” 或藏在 “高级设置” 里，仔细找；
2. AP 没同步模板：改完模板必须在 AP 管理里选中 AP→应用模板→下发，否则 AP 不生效；
3. MAC 格式错：必须是无线网卡 MAC（不是有线），格式要对（-分隔或无分隔）。

五、最简总结（直接照做）

1. 不在 “安全→MAC 过滤” 找（那是上网过滤）；
2. 去无线管理→SSID 模板→编辑→接入控制→开启无线 MAC 过滤；
3. 加白名单 MAC，保存；
4. 绑定模板到两台 AP3000C-U，下发配置。