ACG1000系列应用控制网关根据终端mac地址控制访问的经验案例

某局点购置了一台ACG1000系列应用控制网关设备，现在想实现根据终端的MAC地址实现访问的控制，如只让内网中的部分固定MAC地址的终端允许访问外网。但是在配置时发现，

在配置IPv4策略时，只能根据源目的IP地址进行访问的控制，并没有配置MAC地址的选项。

ACG1000系列应用控制网站一般都是通过web页面进行管理的，但是在IPv4策略的配置页面上确实无法配置根据源MAC地址进行访问的控制，这时我们就可以通过下面的方式实现现场的需求：

1、在 用户管理--用户 中添加用户，其中认证方式为静态绑定MAC，绑定对应的MAC地址

2、在 用户管理--用户 中再新建一个用户组，将之前绑定MAC地址的用户加入到这个用户组中

3、在 上网行为管理--策略配置--IPv4策略 中配置用户为之前配置的用户或者用户组，虽然在Ipv4策略中无法配置源MAC地址，但是是可以配置用户的

通过上面的配置可以实现根据终端MAC地址实现访问控制的需求，另外需要注意的是，因为是根据MAC地址控制终端的访问，ACG需要学习到用户终端的MAC地址，所以建议将ACG作为终端的网关，如果网关设备不在ACG设备上，则需要根据现场组网配置跨三层MAC地址学习功能。