ESW2-350G交换机上基于MAC的ACL和ACE配置
目标
介质访问控制(MAC)访问控制列表(ACL)是根据第2层报头中的信息(例如源和目的硬件地址)过滤流量的ACL。这些ACL检查所有帧是否匹配并执行ACL中定义的操作。
本文有助于定义基于MAC的ACL以及由访问控制条目(ACE)提供的ACL的规则。
适用设备
· ESW2-350G
· ESW2-350G-DC
软件版本
•1.3.0.62
基于MAC的ACL配置
步骤1.登录到Web配置实用程序,然后选择Access Control > MAC-Based ACL。将打开基于MAC的ACL页:此页显示当前定义的ACL列表。
步骤2.(可选)在基于MAC的ACL页面中点击基于MAC的ACE表。将打开基于MAC的ACE页:
步骤3.单击Add将新ACL添加到基于MAC的表中。系统将显示Add MAC-Based ACL窗口:
步骤4.在ACL Name字段中输入新ACL的名称。ACL名称区分大小写。
步骤5.单击“应用”。
步骤6.(可选)要删除列表中的条目,请检查该条目并单击Delete。ACL名称即会删除。
基于MAC的ACE配置
步骤1.登录到Web配置实用程序,然后选择Access Control > MAC-Based ACEs。将打开基于MAC的ACE页:
步骤2.(可选)在基于MAC的ACL页面中点击基于MAC的ACE表。
步骤3.从ACL Name下拉列表中选择ACL名称,然后单击Go。ACL中的ACE如图所示。
步骤4.单击“添加”。系统将显示Add MAC-based ACE窗口:
步骤5.在显示的参数中输入以下内容。
· ACL名称 — 显示ACE添加到的ACL的名称。
·优先级 — ACE的优先级。优先级最高的ACE首先处理。在优先级字段中输入所需的值。最高优先级为1。范围为1 - 2147483647。
·操作 — 帧匹配ACE规则后执行的操作。点击所需的单选按钮:
— 允许 — 允许符合ACE条件的数据包。
— 拒绝 — 丢弃符合ACE条件的数据包。
— 关闭 — 丢弃符合ACE条件的数据包并禁用从其接收数据包的端口。可以从端口设置页面重新激活此类端口。
·时间范围 — 这主要用于指示802.1x在特定启用802.1x的端口上处于活动状态的时间限制。此配置中未启用“时间范围”选项。
· Time Range Name — 时间范围可用于在一天中的某个时间过滤流量并允许用户访问资源(如应用)。仅当启用“时间范围”选项时,才能编辑此字段。
·目标MAC地址 — 如果所有目标地址都可接受,请点击任意;如果目标地址或目标地址范围需要输入到相应字段中,请点击用户定义。
·目标MAC地址值 — 目标MAC地址匹配的MAC地址及其相应的掩码。
·目的MAC通配符掩码 — 用于定义MAC地址范围的掩码。此掩码与子网掩码不同。在此设置中,位为1表示不关心,0表示掩码该值。
·源MAC地址 — 如果所有源地址都可接受,则选择“任意”;如果必须输入源地址或源地址范围,则选择“用户定义”。
·源MAC地址值 — 源MAC地址将匹配的MAC地址及其相应的掩码。
·源MAC通配符掩码 — 用于定义MAC地址范围的掩码。
· VLAN ID — 要匹配的VLAN标记的VLAN ID部分。输入所需的VLAN ID。范围是1 - 4094。
· 802.1p — 选中Include 以使用802.1p。802.1p用于标记。802.1p用于在MAC级别提供服务质量(QoS)。当使用QoS时,同一类的所有流量都以相同方式处理。QoS的操作基于传入帧中指示的QoS值。802.1p使用第2层中的VLAN优先级标记(VPT)执行此QoS操作。值范围为0到7,其中0表示最低优先级,7表示最高优先级。
· 802.1p值 — 要用VPT标记标记的802.1p值。在802.1p字段中输入所需的优先级值(与服务类别关联)。
· 802.1p掩码 — 要应用于VPT标记的802.1p通配符掩码。此通配符掩码用于定义802.1p值的范围。在“802.1p掩码”字段中输入802.1p值的通配符掩码。
· Ethertype — 要匹配的帧Ethertype。这是以太网帧中的两个二进制八位数字段。这用于指示以太网帧负载中包含的协议类型。在Ethertype字段中输入要匹配的数据包的以太网类型。
步骤6.单击Apply,使基于MAC的ACE写入运行配置文件。
步骤7.(可选)要修改特定ACE,请检查要编辑的相应条目,然后在基于MAC的ACE表中单击编辑,或单击删除以删除条目。
反馈