华为设备配置基于源MAC地址控制访问

小乔

组网需求如图1所示，Router为企业网关，企业内部用户通过Router访问互联网。现要求限制局域网内某些主机访问互联网，但是由于这些主机可以变换IP地址，所以通过防火墙限制不能有效防范，最合适的做法是基于源MAC地址进行限制。在本例中可以实现限制某些主机访问互联网，但是可以访问网关。
图1 配置组网图


操作步骤
Router的配置
sysname Router
#
vlan batch 10
#
acl number 3001  //配置编号为3001的编号型访问控制列表
rule 1 permit ip destination 10.1.1.0 0.0.0.255  //配置规则1，指定匹配目的地址为10.1.1.1/24（即网关地址）
#
traffic classifier gate operator and
if-match acl 3001  //配置流分类gate，指定匹配ACL 3001
traffic classifier mac1 operator and
if-match source-mac 0015-c50d-0001  //配置流分类mac1，指定匹配源地址为0015-c50d-0001
traffic classifier mac2 operator and
if-match source-mac 0015-c50d-0002  //配置流分类mac2，指定匹配源地址为0015-c50d-0002
traffic classifier mac3 operator and
if-match source-mac 0015-c50d-0003  //配置流分类mac3，指定匹配源地址为0015-c50d-0003
#
traffic behavior p1
permit  //配置流行为p1为允许通过
traffic behavior d1
deny  //配置流行为d1为拒绝并丢弃
#
traffic policy myqos  //配置流策略myqos
classifier gate behavior p1  //绑定流分类gate与流行为p1
classifier mac1 behavior d1  //绑定流分类mac1与流行为d1
classifier mac2 behavior d1  //绑定流分类mac2与流行为d1
classifier mac3 behavior d1  //绑定流分类mac3与流行为d1
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
traffic-policy myqos inbound  //在接口入方向应用流策略myqos
#
interface Ethernet2/0/0
port link-type trunk  //配置接口的链路类型为Trunk
port trunk allow-pass vlan 10  //配置Trunk类型接口加入vlan 10
#
验证配置结果
# 执行display traffic policy user-defined 命令查看配置的流策略信息。
在被限制的主机上可以成功Ping通网关地址，但不能Ping通非LAN内的IP地址。


配置注意事项
请配置Switch与Router对接的接口为Trunk类型接口，并加入VLAN10。
由于在接口下应用流策略后，报文依次匹配流策略中的流分类，所以在配置流策略myqos时，必须先配置允许访问网关的流分类和流行为，再配置禁止访问互联网的流分类和流行为。

kevin0612

顶，谢谢大神分享！

wwwddd

感谢分享

XIAOZOU24

感谢

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！   

liyou60

华   值   
为   得   
认   拥   
证   有   
，   ！