1、MAC 扩展 ACLs 的语句规则配置标号的 MAC 扩展 ACLs配置命名的 MAC 扩展 ACLs访问控制列表(ACLs)是一种基于包过滤的防火墙技术,它可以对接口上的数据包进行过滤,允许其通过或丢弃。MAC 扩展访问控制列表可根据数据包的源 MAC 地址、目的 MAC 地址、以太网协议类型设置过滤,根据设定的规则,允许或拒绝数据包通过。MAC 扩展访问控制列表用标号或名字进行标识,可使用的标号是 700799。MAC 扩展 ACLs 的语句规则MAC 扩展访问控制列表由一系列的规则组成,每条规则用一个 permit 或 deny 关键字定义,规则的格式为:permit|deny 源 MA
2、C 地址 目的 MAC 地址 以太网协议类型 1、permit|deny:必需。permit 定义的是允许通过的规则,deny 定义的是拒绝通过的规则。2、源 MAC 地址:必需。指定数据包源 MAC 地址。有两种格式:any 表示任意地址 host mac-address 表示单一地址 mac-address 采用三组十六进制数书写,如: 0013.8a49.df07。3、目的 MAC 地址:必需。指定数据包目的 MAC 地址。有两种格式:any 表示任意地址 host mac-address 表示单一地址 4、以太网协议类型:可选。指定数据包的帧类型。在以太网的帧头中有两个字节长度的帧类型
3、字段,可用来表明帧中封装的协议类型,如:类型字段为 0x0800,表明帧中封装的是IP 数据报,类型字段为 0x0806,表明帧中封装的是 ARP 报文。举例:permit host 0013.2049.8272 any允许源 MAC 地址为 0013.2049.8272,目的地址为任意的帧通过。deny any host 0025.2a08.03d1拒绝源 MAC 地址任意,目的 MAC 地址为 0025.2a08.03d1 的帧通过。deny host 0013.2049.8272 any 0x0800拒绝源 MAC 地址为 0013.2049.8272,目的地址为任意,封装了 IP 数据
4、报的帧通过。说明:在每个 MAC 扩展 ACLs 中,最后一条规则隐含为 deny any any,它表示拒绝任何帧通过。配置标号的 MAC 扩展 ACLs扩展访问控制列表有两种配置方法:标号的 ACLs 和命名的 ACLs,以下是标号的 MAC 扩展 ACLs 配置。标号的扩展 ACLs 在全局配置模式中配置;标号的扩展 ACLs 由一系列 access-list 语句组成;属于同一个扩展 ACLs 的 access-list 语句使用相同的标号。1、access-list 语句:Ruijie(config)#access-list list-id 规则 list-id 是 MAC 扩展 A
5、CLs 的标号,取值范围是 700799,同一个 ACLs 中的各语句标号必须相同。规则 就是前面所说的 permit 和 deny 规则。2、包过滤的配置:定义的 ACLs 必须应用在指定的接口上,才能起到包过滤的作用。Ruijie(config)#interface interface-id Ruijie(config-if)#mac access-group list-id in | out interface 命令指定了一个接口。mac access-group 命令指定在接口上应用的 MAC 访问控制列表,list-id 是访问列表的标号,in 指定在输入流中进行过滤,out 指定在
6、输出流中进行过滤,两者只能指定一个。说明:在每个接口、每个方向上只能应用一个访问列表。在一个接口的入口和出口方向上可应用不同的访问列表。使用入口过滤和出口过滤在效果上和效率上都有所不同,应根据具体的应用合适选择。配置举例:RuijieenableRuijie#configure terminalRuijie(config)#access-list 701 deny host 0013.2049.8272 anyRuijie(config)#access-list 701 permit any anyRuijie(config)#interface f0/1Ruijie(config-if)#m
7、ac access-group 701 in本例定义了一个 MAC 扩展访问控制列表,它由 3 条规则组成:拒绝源 MAC 地址为 0013.2049.8272,目的地址任意的帧通过;允许所有帧通过;拒绝所有帧通过。这句是由隐含的规则定义的。整个配置可以解释为,在 f0/1 接口的输入流中执行包过滤,拒绝来自0013.2049.8272 的帧通过,其余的都不受限制。配置命名的 MAC 扩展 ACLs扩展访问控制列表有两种配置方法:标号的 ACLs 和命名的 ACLs,以下是命名的 MAC 扩展 ACLs 配置。命名的扩展 ACLs 用标号或名字区分各个访问列表;命名的扩展 ACLs 的规则在访
8、问列表配置模式中配置。1、进入访问列表配置模式:Ruijie(config)#mac access-list extended list-id | list-name Ruijie(config-mac-nacl)# 本命令用于进入 MAC 扩展访问列表的配置模式。list-id 是 MAC 扩展 ACLs 的标号,取值范围是 700799。list-name 是 MAC 扩展 ACLs 的名字,用字母、数字命名。list-id 和 list-name 只能指定一个,如果指定的访问列表不存在,则创建它并进入访问列表配置模式。2、配置访问列表的规则:Ruijie(config-mac-nacl)
9、#permit 规则 Ruijie(config-mac-nacl)#deny 规则 规则形式参照前面的描述。3、包过滤的配置:把定义的 ACLs 应用在指定的接口上。Ruijie(config)#interface interface-id Ruijie(config-if)#mac access-group list-id | list-name in | out interface 命令指定了一个接口。mac access-group 命令指定在接口上应用的访问控制列表,list-id 和 list-name 是访问列表的标号或名字,in 指定在输入流中进行过滤,out 指定在输出流中进
10、行过滤,两者只能指定一个。配置举例:RuijieenableRuijie#configure terminalRuijie(config)#mac access-list extended mls1Ruijie(config-mac-nacl)#deny host 0013.2049.8272 anyRuijie(config-mac-nacl)#permit any anyRuijie(config-mac-nacl)#exitRuijie(config)#interface f0/1Ruijie(config-if)#mac access-group mls1 in本例和前面的例子是一样的,只是采用了命名的方式定义的。
