在SG350XG和SG550XG上创建基于MAC的ACL

下载选项

PDF (1.0 MB)
在各种设备上使用 Adobe Reader 查看
ePub (768.9 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (2.0 MB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2017 年 8 月 3 日

文档 ID:SMB5108

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

在SG350XG和SG550XG上创建基于MAC的ACL

目标

访问控制列表(ACL)是一组规则，可根据数据包是否符合特定条件来创建这些规则以控制数据包。这些条件可以是源地址或目标地址、报头字段以及数据包的其他各种组件。如果数据包与ACL的指定条件匹配，则会丢弃或允许继续。基于MAC的ACL使用规则来分析数据包的第2层报头，以满足这些条件，例如MAC地址、VLAN ID和Ethertype值。通过实施基于MAC的ACL，您可以控制第2层级通过交换机传输的数据包。

本文档旨在向您展示如何在SG350XG和SG550XG交换机上创建和配置基于MAC的ACL。

适用设备

SG350XG
SG550XG

软件版本

v2.0.0.73

配置基于MAC的ACL

创建中 ACL和规则

步骤1.登录到Web配置实用程序，然后选择Access Control > MAC-Based ACL。将打开基于MAC的ACL页。

步骤2.基于MAC的ACL表将显示交换机上当前所有基于MAC的ACL。要创建新ACL，请单击Add...按钮。将会打开“添加基于MAC的ACL”窗口。

步骤3.在ACL Name字段中，输入新ACL的名称。此名称不会影响ACL的功能，仅用于识别目的。

步骤4.单击“应用”。新ACL将添加到基于MAC的ACL表中。单击Close返回到基于MAC的ACL页面，或通过重复上一步创建另一个ACL。

步骤5.新创建的ACL将为空；即，它不包含任何规则以根据MAC地址阻止或允许数据包。要创建这些规则，必须向ACL添加访问控制条目(ACE)。为此，请单击“基于MAC的ACE表”按钮以转到“基于MAC的ACE”页。

步骤6.在基于MAC的ACE页面上，从基于MAC的ACE表顶部的下拉列表中选择要添加ACE的ACL，然后单击Go。该表显示当前与所选ACL关联的所有ACE。要添加ACE，请单击Add...按钮。将会打开“添加基于MAC的ACE”窗口。

步骤7. ACL Name字段将显示要添加ACE的ACL的名称。在Priority字段中，输入ACE的优先级编号。ACE的优先级越高，处理越快。范围为1 - 2147483647，其中1是最高优先级。

步骤8.在“操作”字段中，选择一个单选按钮以确定在满足ACE的条件时会发生什么情况。

选项有：

允许 — 转发符合条件的数据包。
拒绝 — 丢弃符合条件的数据包。
关闭 — 丢弃符合条件的数据包，然后禁用端口。

步骤9.在Logging字段中，选中Enable复选框以启用与ACE规则匹配的日志记录ACL流。如果使用基本显示模式，请跳至步骤12。可通过Web实用程序右上角的下拉列表更改显示模式。

步骤10.在Time Range字段中，选中Enable 复选框，使ACE仅在指定时间范围内处于活动状态。如果交换机上未配置现有时间范围，则此字段将不可用。

步骤11.如果您为此ACE启用了时间范围，则“时间范围名称”字段将可用。使用下拉列表选择交换机上已配置的时间范围，以应用到ACE。如果交换机上不存在时间范围，则此字段将不可用；单击“编辑”链接转到“时间范围”页以创建或修改时间范围。有关详细信息，请参阅“在SG350XG和SG550XG上设置时间范围”一文。

步骤12.在Destination MAC Address字段中，选择一个单选按钮，确定将构成匹配的目标MAC地址。选择Any使任何目标地址都匹配，或选择User Defined指定地址或地址范围。

如果选择了“用户定义”，请填写以下字段：

目标MAC地址值 — 输入目标MAC地址。如果数据包包含此目的地址，ACE会将其视为匹配。
目标MAC通配符掩码 — 输入掩码以定义地址范围。将位设置为1将导致忽略MAC地址中的对应位，而0将是匹配位。

注意：假设掩码为0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 1111 1111（这表示匹配位的位置）为0，在有1的位上不匹配)。您需要将1转换为十六进制值，并且每四个零写0。在本示例中，自111 1111 = FF以来，掩码将写成：00:00:00:00:00:FF。

步骤13.在Source MAC Address字段中，选择一个单选按钮以确定哪些源MAC地址将构成匹配。选择Any以使任何源地址为匹配，或选择User Defined以指定地址或地址范围。

如果选择了“用户定义”，请填写以下字段：

源MAC地址值 — 输入源MAC地址。如果数据包包含此源地址，ACE会将其视为匹配。
源MAC通配符掩码 — 输入掩码以定义地址范围。将位设置为1将导致忽略MAC地址中的对应位，而0将是匹配位(例如00:00:00:00:00:11)。

步骤14.在VLAN ID字段中，输入1 - 4094之间的VLAN ID。如果数据包包含此VLAN ID，ACE会将其视为匹配。此字段不是必需的；将其留空将导致ACE在检查数据包时不考虑VLAN ID。

步骤15.在802.1p字段中，选中Include 复选框以使ACE包括802.1p条件。如果包括802.1p条件，请在“802.1p值”和“802.1p掩码”字段中输入802.1p值和掩码。两个字段的范围是0 - 7。如果数据包包含相应的802.1p值并符合掩码，ACE会将其视为匹配。

步骤16.在Ethertype字段中，输入将与传入数据包进行比较的Ethertype值。Ethertype是帧中的一个二进制八位数字段，表示数据包中封装的协议。范围为5DD-FFFF。如果数据包包含指定的Ethertype值，ACE会将其视为匹配。Ethertype值列表可在此IEEE标准页上找到。