设备配置基于源MAC地址控制访问

设备配置基于源MAC地址控制访问

组网需求如图1所示，Router为企业网关，企业内部用户通过Router访问互联网。现要求限制局域网内某些主机访问互联网，但是由于这些主机可以变换IP地址，所以通过防火墙限制不能有效防范，最合适的做法是基于源MAC地址进行限制。在本例中可以实现限制某些主机访问互联网，但是可以访问网关。图1 配置组网图

操作步骤

Router的配置

sysname Router

#

vlan batch 10

#

acl number 3001  //配置编号为3001的编号型访问控制列表

rule 1 permit ip destination 10.1.1.0 0.0.0.255  //配置规则1，指定匹配目的地址为10.1.1.1/24（即网关地址）

#

traffic classifier gate operator and

if-match acl 3001  //配置流分类gate，指定匹配ACL 3001

traffic classifier mac1 operator and

if-match source-mac 0015-c50d-0001  //配置流分类mac1，指定匹配源地址为0015-c50d-0001

traffic classifier mac2 operator and

if-match source-mac 0015-c50d-0002  //配置流分类mac2，指定匹配源地址为0015-c50d-0002

traffic classifier mac3 operator and

if-match source-mac 0015-c50d-0003  //配置流分类mac3，指定匹配源地址为0015-c50d-0003

#

traffic behavior p1

permit  //配置流行为p1为允许通过

traffic behavior d1

deny  //配置流行为d1为拒绝并丢弃

#

traffic policy myqos  //配置流策略myqos

classifier gate behavior p1  //绑定流分类gate与流行为p1

classifier mac1 behavior d1  //绑定流分类mac1与流行为d1

classifier mac2 behavior d1  //绑定流分类mac2与流行为d1

classifier mac3 behavior d1  //绑定流分类mac3与流行为d1

#

interface Vlanif10

ip address 10.1.1.1 255.255.255.0

traffic-policy myqos inbound  //在接口入方向应用流策略myqos

#

interface Ethernet2/0/0

port link-type trunk  //配置接口的链路类型为Trunk

port trunk allow-pass vlan 10  //配置Trunk类型接口加入vlan 10

#

验证配置结果

# 执行display traffic policy user-defined 命令查看配置的流策略信息。

在被限制的主机上可以成功Ping通网关地址，但不能Ping通非LAN内的IP地址。

配置注意事项

请配置Switch与Router对接的接口为Trunk类型接口，并加入VLAN10。

由于在接口下应用流策略后，报文依次匹配流策略中的流分类，所以在配置流策略myqos时，必须先配置允许访问网关的流分类和流行为，再配置禁止访问互联网的流分类和流行为。