实验十 配置基于MAC的ACL
实验题目:基于MAC的ACL
实验目的:理解协议、ACL、MAC地址,掌握基于mac的acl,实现高级的访问控制
实验学时: 2
实验设备及环境: 交换机2026、 路由器以太网接口、 PC机
实验基本配置:
1.定义一个MAC地址访问控制列表并且命名该列表为mac
mac access-list extended mac
2.定义所有主机都不可以访问MAC地址为000d.000d.000d的主机
deny any host 000d.000d.000d
3. 在该端口上应用名 mac的访问列表
mac access-group mac in
实验拓扑图
图14 配置基于MAC的ACL实验拓扑图
实验步骤:
1.交换机基本配置。
Switch#configure terminal //进入配置模式
Switch(config)#vlan 2 //建立vlan2
Switch(config-vlan)#exit //推出
Switch(config)#interface range fastEthernet 0/1-4 //进入1-4的组合接口
Switch(config-if-range)#switchport access vlan 2 //加入vlan2
Switch(config-if-range)#exit //退出
2.配置MAC ACL。
由于本例中使用的交换机不支持出方向(out)的MAC ACL,所以需要将MAC ACL配置在接入主机的端口的入方向(in)。由于只允许财务部主机访问财务服务器,所以需要在接入其他主机的接口的入方向禁止其访问财务服务器。
Switch(config)#mac access-list extended deny_to_accsrv //配置acl
Switch(config-mac-nacl)#deny any host 000d.000d.000d //拒绝到达财务服务器的所有流量
Switch(config-mac-nacl)#permit any any //允许其他所有流量
Switch(config-mac-nacl)#exit
3.应用ACL。
将MAC ACL应用到F0/2接口和F0/3接口的入方向,以非财务部主机访问财务服务器。
Switch(config)#interface fastEthernet 0/2 //进入端口
Switch(config-if)#mac access-group deny_to_accsrv in //再接口的入方向应用
Switch(config-if)#exit
Switch(config)#interface fastEthernet 0/3 //进入端口
Switch(config-if)#mac access-group deny_to_accsrv in //再接口的入方向应用
Switch(config-if)#end
4.验证测试。
在财务部主机上ping财务服务器,可以ping通,但是在其他两台非财务部主机上ping财务服务器,无法ping通,说明其他两台主机到达财务服务器的流量被MAC ACL拒绝。
