FAQ-如何在三层核心交换机S5700上通过MAC地址限制终端访问外网

发布时间:  2017-02-16 浏览次数:  180 下载次数:  0
问题描述

业务需求
需要在三层核心交换机上通过MAC地址限制终端访问外网,但不影响其访问内网其它网段。 

 

网络拓扑


解决方案

配置思路
通过高级ACL制定不允许访问外网的规则,再利用流分类的逻辑“与”的关系,将高级ACL和源MAC作为条件进行访问控制。

解决方案
说明:下面示例以内网网段为192.168.0.0/16,限制两台终端的MAC地址为例。如果还需要增加限制的终端,参见蓝色的部分继续增加相应的配置即可。 

acl number 3000                                                     //定义访问规则,只允许访问内网网段 
 rule 5 permit ip destination 192.168.0.0 0.0.255.255
 rule 1000 deny ip
#
traffic classifier mac1 operator and                       //创建流分类,并指定为“与” 
 if-match acl 3000
 if-match source-mac 5489-9887-5c67                 //设置被限制终端的MAC地址
traffic classifier mac2
operator and
 if-match acl 3000
 if-match source-mac 5489-98a4-196e
#
traffic behavior test
#
traffic policy test
 classifier mac1 behavior test
 classifier mac2 behavior test
#
traffic-policy test global inbound                         //在全局应用流策略
#

 

注意:流分类中的“与”是指ACL规则与非ACL规则之间的关系,即假设在流分类中同时配置两个ACL(比如高级ACL和二层ACL),设备将会按ACL配置的顺序依次进行匹配,匹配上后则不再匹配后面配置的ACL规则,直接去和非ACL规则进行“与”,而不是这两个ACL之间进行“与”。

END