MAC扩展访问列表的配置

MAC 扩展 ACLs 的语句规则 配置标号的 MAC 扩展 ACLs 配置命名的 MAC 扩展 ACLs 访问控制列表 ACLs 是一种基于包过滤的防火墙技术 它可以对接口上的数 据包进行过滤 允许其通过或丢弃 MAC 扩展访问控制列表可根据数据包的源 MAC 地址 目的 MAC 地址 以太网 协议类型设置过滤 根据设定的规则 允许或拒绝数据包通过 MAC 扩展访问控制列表用标号或名字进行标识 可使用的标号是 700 799 MAC 扩展扩展 ACLs 的语句规则的语句规则 MAC 扩展访问控制列表由一系列的规则组成 每条规则用一个 permit 或 deny 关键字定义 规则的格式为 permit deny 源 MAC 地址 目的 MAC 地址 以太网协议类型 1 permit deny 必需 permit 定义的是允许通过的规则 deny 定义的是拒绝通过的规则 2 源 源 MAC 地址 地址 必需 指定数据包源 MAC 地址 有两种格式 any 表示任意地址 host mac address 表示单一地址 mac address 采用三组十六进制数书写 如 0013 8a49 df07 3 目的 目的 MAC 地址 地址 必需 指定数据包目的 MAC 地址 有两种格式 any 表示任意地址 host mac address 表示单一地址 4 以太网协议类型 以太网协议类型 可选 指定数据包的帧类型 在以太网的帧头中有两个字节长度的帧类型字段 可用来表明帧中封装的协议类型 如 类型字段为 0 x0800 表明帧中封装的是 IP 数据报 类型字段为 0 x0806 表明帧中封装的是 ARP 报文 举例 举例 permit host 0013 2049 8272 any 允许源 MAC 地址为 0013 2049 8272 目的地址为任意的帧通过 deny any host 0025 2a08 03d1 拒绝源 MAC 地址任意 目的 MAC 地址为 0025 2a08 03d1 的帧通过 deny host 0013 2049 8272 any 0 x0800 拒绝源 MAC 地址为 0013 2049 8272 目的地址为任意 封装了 IP 数据报的 帧通过 说明 说明 在每个 MAC 扩展 ACLs 中 最后一条规则隐含为 deny any any 它表示拒绝 任何帧通过 配置标号的配置标号的 MAC 扩展扩展 ACLs 扩展访问控制列表有两种配置方法 标号的 ACLs 和命名的 ACLs 以下是标号 的 MAC 扩展 ACLs 配置 标号的扩展 ACLs 在全局配置模式中配置 标号的扩展 ACLs 由一系列 access list 语句组成 属于同一个扩展 ACLs 的 access list 语句使用相同的标号 1 access list 语句 语句 Ruijie config access list list id 规则 list id 是 MAC 扩展 ACLs 的标号 取值范围是 700 799 同一个 ACLs 中的 各语句标号必须相同 规则就是前面所说的 permit 和 deny 规则 2 包过滤的配置 包过滤的配置 定义的 ACLs 必须应用在指定的接口上 才能起到包过滤的作用 Ruijie config interface interface id Ruijie config if mac access group list id in out interface 命令指定了一个接口 mac access group 命令指定在接口上应用的 MAC 访问控制列表 list id 是访 问列表的标号 in 指定在输入流中进行过滤 out 指定在输出流中进行过滤 两 者只能指定一个 说明 说明 在每个接口 每个方向上只能应用一个访问列表 在一个接口的入口和出 口方向上可应用不同的访问列表 使用入口过滤和出口过滤在效果上和效率上都有所不同 应根据具体的应用合适 选择 配置举例 配置举例 Ruijie enable Ruijie configure terminal Ruijie config access list 701 deny host 0013 2049 8272 any Ruijie config access list 701 permit any any Ruijie config interface f0 1 Ruijie config if mac access group 701 in 本例定义了一个 MAC 扩展访问控制列表 它由 3 条规则组成 拒绝源 MAC 地址为 0013 2049 8272 目的地址任意的帧通过 允许所有帧通过 拒绝所有帧通过 这句是由隐含的规则定义的 整个配置可以解释为 在 f0 1 接口的输入流中执行包过滤 拒绝来自 0013 2049 8272 的帧通过 其余的都不受限制 配置命名的配置命名的 MAC 扩展扩展 ACLs 扩展访问控制列表有两种配置方法 标号的 ACLs 和命名的 ACLs 以下是命名 的 MAC 扩展 ACLs 配置 命名的扩展 ACLs 用标号或名字区分各个访问列表 命名的扩展 ACLs 的规则在访问列表配置模式中配置 1 进入访问列表配置模式 进入访问列表配置模式 Ruijie config mac access list extended list id list name Ruijie config mac nacl 本命令用于进入 MAC 扩展访问列表的配置模式 list id 是 MAC 扩展 ACLs 的标号 取值范围是 700 799 list name 是 MAC 扩展 ACLs 的名字 用字母 数字命名 list id 和 list name 只能指定一个 如果指定的访问列表不存在 则创建它并进 入访问列表配置模式 2 配置访问列表的规则 配置访问列表的规则 Ruijie config mac nacl permit 规则 Ruijie config mac nacl deny 规则 规则形式参照前面的描述 3 包过滤的配置 包过滤的配置 把定义的 ACLs 应用在指定的接口上 Ruijie config interface interface id Ruijie config if mac access group list id list name in out interface 命令指定了一个接口 mac access group 命令指定在接口上应用的访问控制列表 list id 和 list name 是访问列表的标号或名字 in 指定在输入流中进行过滤 out 指定在输出 流中进行过滤 两者只能指定一个 配置举例 配置举例 Ruijie enable Ruijie configure terminal Ruijie config mac access list extended mls1 Ruijie config mac nacl deny host 0013 2049 8272 any Ruijie