如何設置NETGEAR交換機的MAC ACL功能

如何設置NETGEAR交換機的MAC ACL功能

　　FS728TPv2、FS752TP、GS110TP/GS108Tv2、GS724Tv3/GS716Tv2、GS748Tv4和GS752TXS等交換機支持完整的MAC ACL的功能，能通過對源或目標MAC地址定義網絡中的訪問規則。下面我們就通過FS752TP上的一個例子來描述如何設置這些交換機的MAC ACL。

　　一、網絡拓撲圖

　　設置環境

　　交換機型號：FS752TP

　　FW：V5.0.2.15

　　實現目的

　　在端口48上阻止PC1(MAC地址為：00:26:f2:b2:76:31)訪問其他電腦和網絡。

　　二、MAC ACL設置步驟詳解

　　新建MAC ACL

　　進入Security > ACL > Basic > MAC ACL菜單，新建一個MAC ACL如“denymac1”，點擊右下角的ADD添加。

　　添加 MAC ACL 規則

　　進入Security > ACL > Basic > MAC ACL菜單，添加一條MAC規則，即阻止00:26:f2:b2:76:31訪問任何網絡。

　　ID (1 to 10)：輸入規則編號1

　　Action：操作，可選擇Permit(允許)和Deny(禁止)，這里選Deny

　　Match Every：可以選擇False和True。最后一條規則選True，否則選False，由于默認規則為拒絕所有，這里先選False

　　Destination MAC：目的MAC地址，這里填入ff:ff:ff:ff:ff:ff，表示所有電腦

　　Destination MAC Mask：目的通配符掩碼，這里填入ff:ff:ff:ff:ff:ff

　　Source MAC：源MAC地址，這里填入一臺PC1的MAC地址00:26:f2:b2:76:31

　　Source MAC Mask：通配符掩碼，類似于IP ACL的反掩碼，填入00:00:00:00:00:00表示指定這一個MAC，類似反掩碼的0.0.0.0。

　　VLAN：這個MAC ACL在哪個VLAN中生效

　　設置好后，點擊右下角的ADD添加。

　　新建允許所有的規則

　　由于ACL默認是禁止所有MAC地址訪問的，所以在添加了阻止PC1的MAC地址的規則之后，需要添加一條允許所有的規則。

　　ID (1 to 10)：輸入規則編號2

　　Action：選擇Permit

　　Match Every：最后一條規則選True

　　其他參數無需配置，點擊右下角的ADD添加。

　　將MAC ACL應用到端口

　　進入Security > ACL > Basic > MAC Binding Configuration菜單，ACL ID選擇“denymac1”，單擊下面的PORT橙條，選擇端口48，點擊右下角的APPLY將MAC ACL“denymac1”應用到48號端口。

　　其中的Sequence Number(序號)可定義ACL生效的優先次序，此序號可自定義，取值范圍為1 – 4294967295，如果不定義，交換機將自動生成序號，從序號1開始往上遞增。較小的序號優先級高，直至匹配到最后一條規則—即True規則為止。

　　注意：手動配置的序號與現有的序號相同時，將覆蓋之前的ACL。

　　查看 MAC ACL 綁定列表

　　進入Security > ACL > Basic > Binding Table菜單，可查看MAC ACL綁定列表。

　　如果需要取消MAC ACL與端口的綁定關系，選取綁定條目，然后點擊右下角的DELETE刪除即可。

　　注意：每個端口最多應用10條規則(Rule)。

　　生效的順序根據MAC Binding Configuration的Sequence Number(序號)確定，可自定義此序號，取值范圍為1 – 4294967295。如果不定義，交換機將自動生成序號，從序號1開始往上遞增。較小的序號優先級高，直至匹配到最后一條規則—即True規則為止。

　　測試綁定MAC ACL的效果

　　PC1通過48號端口連接到FS752TP，應用MAC ACL前從PC1到網關ping值：

　　應用MAC ACL后從PC1到網關ping值：

　　定IP，網關和DNS都為JWNR2000的LAN地址，再在LAN接口上開啟DHCP，注意網段不能和JWNR2000的LAN一樣。然后再開啟無線功能。