二层ACL根据以太网帧头信息来定义规则,如源MAC(Media Access Control)地址、目的MAC地址、VLAN、二层协议类型等,对IPv4和IPv6报文进行过滤。
如果只需要根据二层信息过滤报文,可以配置二层ACL。
Router作为网关设备,下挂用户PC。管理员发现PC1(MAC地址为00e0-f201-0101)用户是非法用户,要求禁止该用户上网。
图1 使用二层ACL禁止特定用户上网示例组网图
采用如下的思路在Router上进行配置:
1.配置二层ACL和基于ACL的流分类,使设备对MAC地址为00e0-f201-0101的报文进行过滤,从而禁止该地址对应的用户上网。
2.配置流行为,拒绝匹配上ACL的报文通过。
3.配置并应用流策略,使ACL和流行为生效。
操作步骤
1.配置ACL
# 配置符合要求的二层ACL。
<Huawei> system-view
[Huawei] sysname Router
[Router] acl 4000
[Router-acl-L2-4000] rule deny source-mac 00e0-f201-0101 ffff-ffff-ffff
[Router-acl-L2-4000] quit
设备将报文与ACL规则进行匹配时,遵循“一旦命中即停止匹配”的机制
2.配置基于ACL的流分类
# 配置流分类tc1,对匹配ACL 4000的报文进行分类。
[Router] traffic classifier tc1
[Router-classifier-tc1] if-match acl 4000
[Router-classifier-tc1] quit
3.配置流行为
# 配置流行为tb1,动作为拒绝报文通过。
[Router] traffic behavior tb1
[Router-behavior-tb1] deny
[Router-behavior-tb1] quit
4.配置流策略
# 配置流策略tp1,将流分类tc1与流行为tb1关联。
[Router] traffic policy tp1
[Router-trafficpolicy-tp1] classifier tc1 behavior tb1
[Router-trafficpolicy-tp1] quit
5.应用流策略
# 由于PC1的报文从接口GE2/0/0进入Router并流向Internet,所以可以在接口GE2/0/0的入方向应用流策略tp1。
[Router] interface gigabitethernet 2/0/0
[Router-GigabitEthernet2/0/0] traffic-policy tp1 inbound
[Router-GigabitEthernet2/0/0] quit
6.验证配置结果
# 查看ACL规则的配置信息。
[Router] display acl 4000
L2 ACL 4000, 1 rule
Acl's step is 5
rule 5 deny source-mac 00e0-f201-0101
# 查看流分类的配置信息。
[Router] display traffic classifier user-defined
User Defined Classifier Information:
Classifier: tc1
Operator: OR
Rule(s) :
if-match acl 4000
# 查看流策略的配置信息。
[Router] display traffic policy user-defined tp1
User Defined Traffic Policy Information:
Policy: tp1
Classifier: tc1
Operator: OR
Behavior: tb1
Deny
# 源MAC地址是00e0-f201-0101的用户无法上网。
官方公众号
商务合作
