配置基于mac 进行过滤过程中遇到的问题

发布时间:  2012-07-18 浏览次数:  96 下载次数:  0
问题描述
外网----fw---sw---pc此组网环境中,部分重要pc,往往客户需要静止访问网络,通过mac控制,设备具有基于mac acl 过滤功能,但是根据手册配置,实际过程仍然会遇到问题
告警信息
处理过程
1避免应用的基于MAC地址的ACL总数大于10个,严重影响性能
2.acl写法
Acl  4001
rule 10 deny type arp  source-mac 781d-bace-f611 ffff-ffff-ffff(正掩码,相当于ipv4中的255.255.255.255 代表这这一个mac地址)
type为arp 只在arp  请求或应答时源mac为此地址时执行拒绝动作

acl  4002
rule 15 deny source-mac 781d-bace-f611 ffff-ffff-ffff
(正掩码,相当于ipv4中的255.255.255.255 代表这这一个mac地址)
Type 为  source-mac  数据包中检查源为此地址执行拒绝动作
3.基于mac  acl的应用
[usg-GigabitEthernet0/0/0]firewall  ethernet-frame-filter  4001  inbound  (只有进方向)
  • arp  请求或应答时源mac为此地址数据包 ,造成下面arp无法正常学习,网络中断
  • 测试时会发现若arp表项没有老化,测试不会成功,需要清楚最少一边arp,发送arp请求或应答才能立即生效
  • 只针拒绝 mac为781d-bace-f611 的arp数据包,其它数据包不做控制 (相当于禁止此mac接入设备或其它网络)

[usg-GigabitEthernet0/0/0]firewall  ethernet-frame-filter  4002  inbound 
 A.数据包中检查源为此地址执行拒绝动作
  B.配置后立即生效
  C.只针拒绝 mac为781d-bace-f611 的数据包,其它数据包不做控制 (相当于禁止此mac接入设备或其它网络)
根因
建议与总结

END