组网需求如图1所示,Router为企业网关,企业内部用户通过Router访问互联网。现要求限制局域网内某些主机访问互联网,但是由于这些主机可以变换IP地址,所以通过防火墙限制不能有效防范,最合适的做法是基于源MAC地址进行限制。在本例中可以实现限制某些主机访问互联网,但是可以访问网关。图1 配置组网图
操作步骤
Router的配置
sysname Router
#
vlan batch 10
#
acl number 3001 //配置编号为3001的编号型访问控制列表
rule 1 permit ip destination 10.1.1.0 0.0.0.255 //配置规则1,指定匹配目的地址为10.1.1.1/24(即网关地址)
#
traffic classifier gate operator and
if-match acl 3001 //配置流分类gate,指定匹配ACL 3001
traffic classifier mac1 operator and
if-match source-mac 0015-c50d-0001 //配置流分类mac1,指定匹配源地址为0015-c50d-0001
traffic classifier mac2 op