在SG350XG和SG550XG上创建基于MAC的ACL

下载选项

PDF (1.2 MB)
在各种设备上使用 Adobe Reader 查看

已更新: 2017 年 8 月 3 日

文档 ID:SMB5108

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

在SG350XG和SG550XG上创建基于MAC的ACL

目标

访问控制列表(ACL)是一组规则，可以创建这些规则以根据数据包是否满足特定条件对其进行处理。这些条件可以是源或目标地址、报头字段以及数据包的其他不同组件。如果数据包与ACL的指定条件匹配，则丢弃或允许其继续。基于MAC的ACL使用分析数据包第2层报头的规则（例如MAC地址、VLAN ID和Ethertype值），以满足这些条件。通过实施基于MAC的ACL，您可以在第2层级别控制数据包在交换机上传输。

本文档的目的是向您展示如何在SG350XG和SG550XG交换机上创建并配置基于MAC的ACL。

适用设备

SG350XG
SG550XG

软件版本

v2.0.0.73

配置基于MAC的ACL

创建中 ACL和规则

步骤1.登录到Web配置实用程序并选择访问控制 > 基于MAC的ACL。将打开基于MAC的ACL页面。

步骤2.基于MAC的ACL表将显示交换机上当前所有基于MAC的ACL。要创建新的ACL，请单击Add...按钮。将会打开Add MAC-Based ACL窗口。

步骤3.在ACL名称字段中，输入新ACL的名称。此名称不会影响ACL的功能，并且仅用于标识目的。

步骤4.单击Apply。新的ACL将添加到基于MAC的ACL表中。单击Close以返回基于MAC的ACL页，或通过重复上一步创建另一个ACL。

步骤5.任何新创建的ACL都将为空；也就是说，它不包含任何根据MAC地址阻止或允许数据包的规则。要创建这些规则，必须将访问控制条目(ACE)添加到ACL。为此，请点击基于MAC的ACE Table按钮以转至基于MAC的ACE页。

第6步：在基于MAC的ACE页面上，通过基于MAC的ACE表顶部的下拉列表选择要向其添加ACE的ACL，然后单击Go。该表显示当前与选定ACL关联的所有ACE。要添加ACE，请点击添加……按钮。将会打开Add MAC-Based ACE窗口。

步骤7. ACL Name字段将显示要向其添加ACE的ACL的名称。在Priority字段中，输入ACE的优先级编号。ACE的优先级越高，处理它的速度越快。范围为1至2147483647，其中1表示最高优先级。

第8步：在操作字段中，选择一个单选按钮，以确定在满足ACE条件时会发生什么情况。

选项有：

允许 — 转发符合条件的数据包。
拒绝 — 丢弃符合条件的数据包。
Shutdown — 丢弃符合条件的数据包，然后禁用端口。

步骤9.在Logging字段中，选中Enable复选框以启用与ACE规则匹配的日志记录ACL流。如果使用的是基本显示模式，请跳至步骤12。可以通过Web实用程序右上角的下拉列表更改显示模式。

步骤10.在Time Range字段中，选中Enable复选框，使ACE仅在指定的时间范围内处于活动状态。如果交换机上未配置现有时间范围，此字段将不可用。

步骤11.如果已启用此ACE的时间范围，Time Range Name字段将可用。使用下拉列表选择交换机上已配置的时间范围，以应用于ACE。如果交换机上不存在时间范围，此字段将不可用；单击Edit链接可转至Time Range页，以创建或修改时间范围。有关详细信息，请参阅在SG350XG和SG550XG上设置时间范围。

步骤12.在目的MAC地址字段中，选择单选按钮以确定哪些目的MAC地址将构成匹配。选择Any使任何目标地址都匹配，或选择User Defined以指定地址或地址范围。

如果选择了User Defined，请填写以下字段：

目的MAC地址值 — 输入目的MAC地址。如果数据包包含此目的地址，则ACE会将其视为匹配项。
目的MAC通配符掩码 — 输入掩码以定义地址范围。将位设置为1会忽略MAC地址中的对应位，而0将匹配位。

注意：给定掩码0000 0000000000 00000 0000 0000 0000 0000 1111 1111（这意味着您匹配的是0的位，而与1的位不匹配）。您需要将1转换为十六进制值，并且每四个0就写入0。在本示例中，从1111 111 = FF开始，掩码将写成：设置为00:00:00:00:00:FF。

步骤13.在源MAC地址字段中，选择单选按钮以确定哪些源MAC地址将构成匹配。选择Any使任何源地址匹配，或选择User Defined以指定地址或地址范围。

如果选择了User Defined，请填写以下字段：

源MAC地址值 — 输入源MAC地址。如果数据包包含此源地址，ACE会将其视为匹配项。
源MAC通配符掩码 — 输入掩码以定义地址范围。将位设置为1会忽略MAC地址中的对应位，而0将匹配位（例如00:00:00:00:11）。

步骤14.在VLAN ID字段中，输入1到4094之间的VLAN ID。如果数据包包含此VLAN ID，则ACE会将其视为匹配项。此字段不是必填字段；将其留空将导致ACE检查数据包时不会考虑VLAN ID。

步骤15.在802.1p字段中，选中Include复选框以使ACE包含802.1p条件。如果包括802.1p标准，请在802.1p值和802.1p掩码字段中分别输入802.1p值和掩码。两个字段的范围都是0到7。如果数据包包含对应的802.1p值并且适合掩码，则ACE会将其视为匹配项。

步骤16.在Ethertype字段中，输入将与传入数据包进行比较的Ethertype值。Ethertype是帧中两个二进制八位数的字段，表示数据包中封装了哪个协议。范围为5DD- FFFF。如果数据包包含指定的Ethertype值，则ACE会将其视为匹配项。Ethertype值的列表可以在此IEEE标准页面上找到。