如何在三層核心交換機(jī)上通過MAC地址限制終端訪問外網(wǎng)

業(yè)務(wù)需求

需要在三層核心交換機(jī)（S5700）上通過MAC地址限制終端訪問外網(wǎng)（刷抖音），但不影響其訪問內(nèi)網(wǎng)其它網(wǎng)段。

網(wǎng)絡(luò)拓?fù)?/p>

方案1

說明：下面示例以內(nèi)網(wǎng)網(wǎng)段為192.168.0.0/16，限制兩臺終端的MAC地址為例。如果還需要增加限制的終端，參見綠色部分繼續(xù)增加ACL規(guī)則即可。

配置思路：通過高級ACL允許內(nèi)網(wǎng)互訪，通過二層ACL拒絕MAC地址，然后在同一個策略中應(yīng)用兩個CB對（先允許內(nèi)網(wǎng)IP互訪，再拒絕終端MAC）。

#
aclnumber3001//定義訪問規(guī)則，允許內(nèi)網(wǎng)網(wǎng)段互訪
rule5permitipsource192.168.0.00.0.255.255destination192.168.0.00.0.255.255
#
aclnumber4001//定義訪問規(guī)則，只拒絕某個終端的MAC地址
rule5denysource-mac5489-9887-5c67
rule10denysource-mac5489-98a4-196e
#
trafficclassifierlan.ipoperatorand
if-matchacl3001
trafficclassifierdeny.smacoperatorand
if-matchacl4001
#
trafficbehaviortest1
#
trafficpolicytest1//這果要注意配置CB對的順序（先允許內(nèi)網(wǎng)IP互訪，再拒絕終端MAC）
classifierlan.ipbehaviortest1
classifierdeny.smacbehaviortest1
#
traffic-policytest1globalinbound//在全局應(yīng)用流策略
#

方案2

說明：下面示例以內(nèi)網(wǎng)網(wǎng)段為192.168.0.0/16，限制兩臺終端的MAC地址為例。如果還需要增加限制的終端，參見綠色部分繼續(xù)增加相應(yīng)的CB對即可。

配置思路：通過高級ACL制定不允許訪問外網(wǎng)的規(guī)則，再利用流分類的邏輯“與”的關(guān)系，將高級ACL和源MAC作為條件進(jìn)行訪問控制。

#
aclnumber3002//定義訪問規(guī)則，只允許訪問內(nèi)網(wǎng)網(wǎng)段
rule5permitipsource192.168.0.00.0.255.255destination192.168.0.00.0.255.255
rule1000denyip
#
trafficclassifierdeny.smac1operatorand//創(chuàng)建流分類，注意這里必須指定operator為“and”
if-matchacl3002
if-matchsource-mac5489-9887-5c67//設(shè)置被限制終端的MAC地址
trafficclassifierdeny.smac2operatorand
if-matchacl3002
if-matchsource-mac5489-98a4-196e
#
trafficbehaviortest2
#
trafficpolicytest2
classifierdeny.smac1behaviortest2
classifierdeny.smac2behaviortest2
#
traffic-policytest2globalinbound//在全局應(yīng)用流策略
#

注意：流分類中的“與”是指ACL規(guī)則與非ACL規(guī)則之間的關(guān)系，即假設(shè)在流分類中同時配置兩個ACL（比如高級ACL和二層ACL），設(shè)備將會按ACL配置的順序依次進(jìn)行匹配，匹配上后則不再匹配后面配置的ACL規(guī)則，直接去和非ACL規(guī)則進(jìn)行“與”，而不是這兩個ACL之間進(jìn)行“與”，達(dá)不到預(yù)期的效果。

總結(jié)與建議：

如果有多個終端MAC要拒絕的話，建議使用【方案1】，后期添加終端MAC時更方便。

如果只是臨時拒絕單個終端MAC的話，【方案2】相對更簡潔。

通過這兩個方案，可以讓我們對流策略與ACL之間關(guān)系的理解更加深入一些。