在SG350XG和SG550XG上建立基於MAC的ACL

下載選項

PDF (1.0 MB)
在多種裝置上使用 Adobe Reader 檢視
ePub (768.8 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (2.0 MB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2017 年 8 月 3 日

文件 ID:SMB5108

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

在SG350XG和SG550XG上建立基於MAC的ACL

目標

訪問控制清單(ACL)是一組規則，可以建立這些規則以根據資料包是否滿足某些標準來對其進行操作。這些標準可以是資料包的源或目標地址、報頭欄位和其他各種元件。如果封包與ACL的指定條件相符，便會捨棄或允許其繼續。基於MAC的ACL使用分析資料包第2層報頭的規則（例如MAC地址、VLAN ID和Ethertype值），以滿足這些標準。通過實施基於MAC的ACL，您可以在第2層控制資料包在交換機上傳輸。

本文檔的目的是向您展示如何在SG350XG和SG550XG交換機上建立並配置基於MAC的ACL。

適用裝置

SG350XG
SG550XG

軟體版本

v2.0.0.73

設定 MAC型ACL

建立 acl和規則

步驟1.登入到Web配置實用程式，然後選擇Access Control > MAC-Based ACL。將打開基於MAC的ACL頁面。

步驟2.基於MAC的ACL表將顯示交換機上當前所有基於MAC的ACL。要建立新的ACL，請按一下Add...按鈕。將會開啟Add MAC-Based ACL視窗。

步驟3.在ACL Name欄位中，輸入新ACL的名稱。此名稱不會影響ACL的功能，僅供識別。

步驟4.按一下Apply。新ACL將新增到基於MAC的ACL表中。按一下Close以返回MAC-Based ACL頁面，或重複上一步驟建立另一個ACL。

步驟5.所有新建立的ACL都將為空；也就是說，它不包含任何根據MAC地址阻止或允許資料包的規則。要建立這些規則，必須將訪問控制條目(ACE)新增到ACL中。為此，請按一下MAC-Based ACE Table按鈕以轉至MAC-Based ACE頁。

步驟6.在「MAC-Based ACE」頁面上，通過基於MAC的ACE表頂部的下拉選單選擇要向其新增ACE的ACL，然後按一下Go。該表顯示當前與選定ACL關聯的所有ACE。要新增ACE，請按一下Add...按鈕。將會開啟Add MAC-Based ACE 視窗。

步驟7. ACL Name 欄位會顯示您要將ACE新增到的ACL的名稱。在Priority欄位中，輸入ACE的優先順序編號。ACE的優先順序越高，處理它的速度越快。範圍是從1到2147483647,1是最高優先順序。

步驟8.在Action欄位中，選擇一個單選按鈕，以確定在滿足ACE標準時將發生的情況。

選項包括：

允許 — 轉發符合條件的資料包。
Deny — 丟棄符合條件的資料包。
Shutdown — 捨棄符合條件的資料包，然後停用連線埠。

步驟9.在Logging欄位中，選中Enable覈取方塊以啟用與ACE規則匹配的日誌記錄ACL流。如果使用的是基本顯示模式，請跳至步驟12。可以通過Web實用程式右上角的下拉選單更改顯示模式。

步驟10.在Time Range欄位中，選中Enable覈取方塊，使ACE僅在指定的時間範圍內處於活動狀態。如果交換機上未配置現有時間範圍，則此欄位不可用。

步驟11.如果已啟用此ACE的時間範圍，則Time Range Name欄位將可用。使用下拉選單選擇交換機上已配置的時間範圍以應用於ACE。如果交換器上沒有時間範圍，此欄位將不可用；按一下Edit連結可轉到「Time Range」頁，以建立或修改時間範圍。有關詳細資訊，請參閱在SG350XG和SG550XG上設定時間範圍一文。

步驟12.在Destination MAC Address欄位中，選擇單選按鈕以確定哪些目標MAC地址將構成匹配。選擇Any使任何目標地址匹配，或選擇User Defined指定地址或地址範圍。

如果選擇了使用者定義，請填寫以下欄位：

目標MAC地址值 — 輸入目標MAC地址。如果資料包包含此目標地址，ACE會將其視為匹配項。
目標MAC萬用字元掩碼 — 輸入掩碼以定義地址範圍。將位設定為1將忽略MAC地址中的對應位，而0將匹配位。

附註：給定掩碼0000 0000 0000 0000 0000 0000 0000 000 0000 111 111（表示您匹配的是0的位，而非1的位）。您需要將1轉換為十六進位制值，然後對四個0寫入0。在此示例中，由於1111 111 = FF，因此將寫入掩碼：00:00:00:00:00:FF。

步驟13.在源MAC地址欄位中，選擇單選按鈕以確定哪些源MAC地址將構成匹配。選擇Any使任何源地址匹配，或選擇User Defined指定地址或地址範圍。

如果選擇了使用者定義，請填寫以下欄位：

源MAC地址值 — 輸入源MAC地址。如果資料包包含此源地址，ACE會將其視為匹配項。
源MAC萬用字元掩碼 — 輸入掩碼以定義地址範圍。將位設定為1將忽略MAC地址中的相應位，而0將匹配位（例如00:00:00:00:00:11）。

步驟14.在「VLAN ID」欄位中，輸入1到4094之間的VLAN ID。如果資料包包含此VLAN ID，ACE會將其視為匹配項。此欄位不是必填欄位；將其保留為空將導致ACE檢查資料包時不考慮VLAN ID。

步驟15.在802.1p欄位中，選中Include覈取方塊以使ACE包含802.1p標準。如果包括802.1p標準，請分別在802.1p Value 和802.1p Mask 欄位中輸入802.1p值和掩碼。兩個欄位的範圍都是0到7。如果資料包包含對應的802.1p值並且適合掩碼，則ACE會將其視為匹配項。

步驟16.在Ethertype欄位中，輸入將與傳入封包比較的Ethertype值。Ethertype是幀中兩個二進位制八位數的欄位，表示資料包中封裝了哪個協定。範圍為5DD- FFFF。如果資料包包含指定的Ethertype值，則ACE會將其視為匹配項。在此IEEE標準頁面上可以找到Ethertype值的清單。