MAC扩展访问列表配置.doc

MAC扩展ACLs的语句规则 配置标号的MAC扩展ACLs 配置命名的MAC扩展ACLs 访问控制列表（ACLs）是一种基于包过滤的防火墙技术，它可以对接口上的数据包进行过滤，允许其通过或丢弃。 MAC扩展访问控制列表可根据数据包的源MAC地址、目的MAC地址、以太网协议类型设置过滤，根据设定的规则，允许或拒绝数据包通过。 MAC扩展访问控制列表用标号或名字进行标识，可使用的标号是700~799。 MAC扩展ACLs的语句规则 MAC扩展访问控制列表由一系列的规则组成，每条规则用一个 permit 或 deny 关键字定义，规则的格式为： [permit|deny] [源MAC地址] [目的MAC地址] [以太网协议类型] 1、permit|deny： 必需。permit 定义的是允许通过的规则，deny 定义的是拒绝通过的规则。 2、源MAC地址： 必需。指定数据包源MAC地址。有两种格式： any 表示任意地址 host mac-address 表示单一地址 mac-address采用三组十六进制数书写，如：0013.8a49.df07。 3、目的MAC地址： 必需。指定数据包目的MAC地址。有两种格式： any 表示任意地址 host mac-address 表示单一地址 4、以太网协议类型： 可选。指定数据包的帧类型。在以太网的帧头中有两个字节长度的帧类型字段，可用来表明帧中封装的协议类型，如：类型字段为0x0800，表明帧中封装的是IP数据报，类型字段为0x0806，表明帧中封装的是ARP报文。 举例： permit host 0013.2049.8272 any 允许源MAC地址为0013.2049.8272，目的地址为任意的帧通过。 deny any host 0025.2a08.03d1 拒绝源MAC地址任意，目的MAC地址为0025.2a08.03d1的帧通过。 deny host 0013.2049.8272 any 0x0800 拒绝源MAC地址为0013.2049.8272，目的地址为任意，封装了IP数据报的帧通过。 说明： 在每个MAC扩展ACLs中，最后一条规则隐含为 deny any any，它表示拒绝任何帧通过。 配置标号的MAC扩展ACLs 扩展访问控制列表有两种配置方法：标号的ACLs和命名的ACLs，以下是标号的MAC扩展ACLs配置。 标号的扩展ACLs在全局配置模式中配置； 标号的扩展ACLs由一系列 access-list 语句组成； 属于同一个扩展ACLs的 access-list 语句使用相同的标号。 1、access-list 语句： Ruijie(config)#access-list list-id 规则 list-id是MAC扩展ACLs的标号，取值范围是700~799，同一个ACLs中的各语句标号必须相同。 规则就是前面所说的 permit 和 deny 规则。 2、包过滤的配置： 定义的ACLs必须应用在指定的接口上，才能起到包过滤的作用。 Ruijie(config)#interface interface-id Ruijie(config-if)#mac access-group list-id in | out interface命令指定了一个接口。 mac access-group命令指定在接口上应用的MAC访问控制列表，list-id是访问列表的标号，in指定在输入流中进行过滤，out指定在输出流中进行过滤，两者只能指定一个。 说明：在每个接口、每个方向上只能应用一个访问列表。在一个接口的入口和出口方向上可应用不同的访问列表。 使用入口过滤和出口过滤在效果上和效率上都有所不同，应根据具体的应用合适选择。 配置举例： Ruijieenable Ruijie#configure terminal Ruijie(config)#access-list 701 deny host 0013.2049.8272 any Ruijie(config)#access-list 701 permit any any Ruijie(config)#interface f0/1 Ruijie(config-if)#mac access-group 701 in 本例定义了一个MAC扩展访问控制列表，它由3条规则组成： 拒绝源MAC地址为0013.2049.8272，目的地址任意的帧通过； 允许所有帧通过； 拒绝所有帧通过。这句是由隐含的规则定义的。 整个配置可以解释为，在 f0/1 接口的输入流中执行包过滤，拒绝来自0013.2049.8272的帧通过，其余的都不受限制。 配置命名的MAC扩展ACLs 扩展访问控制列表有两种配置方法：标号