一千萬個為什麽

搜索

1921/K9路由器上的Cisco C1900。 Mac地址ACL

我想在我的cisco路由器上配置MAC ACL。從官方CISCO文檔中我可以看到這是通過輸入以下內容來完成的:

cisco# configure terminal
cisco(config) # mac access-list 

但是,當我使用它時,我得到:

cisco(config)#mac access-list mac-Permit
                   ^
% Invalid input detected at '^' marker.

我註意到在配置模式下有一個命令,它自己叫做訪問列表,在這裏我假設我可以使用它來配置單個規則。這是應該完成的地方還是我錯過了什麽?為什麽mac access-list命令不起作用?我的軟件版本是否不支持。

版本:c1900-universalk9-mz.SPA.153-1.T1.bin - 15.0(1r)M16

提前致謝。

最佳答案

MAC訪問列表可以在任何標準IOS中以數字方式定義,範圍為1100-1199(擴展)或700-799(基本),如下:

router(config)#access-list ?
  <1-99>            IP standard access list
  <100-199>         IP extended access list
  <1100-1199>       Extended 48-bit MAC address access list
  <1300-1999>       IP standard access list (expanded range)
  <200-299>         Protocol type-code access list
  <2000-2699>       IP extended access list (expanded range)
  <2700-2799>       MPLS access list
  <300-399>         DECnet access list
  <700-799>         48-bit MAC address access list
  compiled          Enable IP access-list compilation
  dynamic-extended  Extend the dynamic ACL absolute timer
  rate-limit        Simple rate-limit specific access list

router(config)#

所以 - 這就是你定義 mac訪問列表的方式。然而,根據我的評論,它可能不會像你想象的那樣表現。它實際上是用於橋接 - 例如,阻止特定MAC地址通過橋接組。

它與您在消費者路由器上可能發現的MAC過濾並不完全類似,因為在標準路由接口上無法簡單地說“不接受來自mac地址x的流量”。如果您想使用IRB(參見 CCO透明網橋配置指南)您可以將IP放在BVI上,然後將其和一個或多個以太網接口連接到網橋組,然後通過訪問表達式應用MAC過濾器物理接口(...因此允許/阻止某些MAC地址或地址範圍進入BVI)。

放置它的最佳方式實際上可能是您在消費者網絡設備上看到的那種MAC過濾實際上是交換機(包括任何集成的AP)的一部分,而基於IP的規則是可能是路由器的一部分。為此 - 如果您使用的是思科交換機,那麽您可以通過VACL或PACL以非常簡單的方式應用MAC過濾器。然而,在充當純路由器的設備上,它將是一個不同的故事。

轉載註明原文: 1921/K9路由器上的Cisco C1900。 Mac地址ACL