基于mac的acl

实验题目：基于MAC的ACL

实验目的：理解协议、ACL、MAC地址，掌握基于mac的acl，实现高级的访问控制

实验学时： 2

实验设备及环境：  交换机2026、  路由器以太网接口、 PC机

实验基本配置： 

1.定义一个MAC地址访问控制列表并且命名该列表为mac

mac access-list extended mac

2.定义所有主机都不可以访问MAC地址为000d.000d.000d的主机

deny any host 000d.000d.000d

3. 在该端口上应用名 mac的访问列表

mac access-group mac in

实验拓扑图

图14  配置基于MAC的ACL实验拓扑图

实验步骤：

1.交换机基本配置。

Switch#configure terminal                             //进入配置模式

Switch(config)#vlan 2                                 //建立vlan2

Switch(config-vlan)#exit                              //推出

Switch(config)#interface range fastEthernet 0/1-4 //进入1-4的组合接口

Switch(config-if-range)#switchport access vlan 2      //加入vlan2 

Switch(config-if-range)#exit                          //退出

2.配置MAC ACL。

由于本例中使用的交换机不支持出方向（out）的MAC ACL，所以需要将MAC ACL配置在接入主机的端口的入方向（in）。由于只允许财务部主机访问财务服务器，所以需要在接入其他主机的接口的入方向禁止其访问财务服务器。

Switch(config)#mac access-list extended deny_to_accsrv      //配置acl

Switch(config-mac-nacl)#deny any host 000d.000d.000d   //拒绝到达财务服务器的所有流量

Switch(config-mac-nacl)#permit any any              //允许其他所有流量

Switch(config-mac-nacl)#exit

3.应用ACL。

将MAC ACL应用到F0/2接口和F0/3接口的入方向，以非财务部主机访问财务服务器。

Switch(config)#interface fastEthernet 0/2              //进入端口

Switch(config-if)#mac access-group deny_to_accsrv in   //再接口的入方向应用

Switch(config-if)#exit

Switch(config)#interface fastEthernet 0/3              //进入端口

Switch(config-if)#mac access-group deny_to_accsrv in   //再接口的入方向应用

Switch(config-if)#end

4.验证测试。

在财务部主机上ping财务服务器，可以ping通，但是在其他两台非财务部主机上ping财务服务器，无法ping通，说明其他两台主机到达财务服务器的流量被MAC ACL拒绝。