我想在我的 cisco 路由器上配置 MAC ACL。从 CISCO 官方文档中,我可以看到这是通过键入以下内容完成的:
cisco# configure terminal
cisco(config) # mac access-list <mac-list-name>
但是,当我使用它时,我得到:
cisco(config)#mac access-list mac-Permit
^
% Invalid input detected at '^' marker.
我注意到在配置模式下有一个名为 access-list 的命令,在这里我假设我可以使用它来配置单个规则。这是应该完成的地方还是我错过了什么?为什么 mac access-list 命令不起作用?我的软件版本不支持它吗?
版本:c1900-universalk9-mz.SPA.153-1.T1.bin - 15.0(1r)M16
提前致谢。
MAC 访问列表可以在任何标准 IOS 中以数字方式定义,扩展范围为 1100-1199,基本范围为 700-799,如下所示:
router(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
<1100-1199> Extended 48-bit MAC address access list
<1300-1999> IP standard access list (expanded range)
<200-299> Protocol type-code access list
<2000-2699> IP extended access list (expanded range)
<2700-2799> MPLS access list
<300-399> DECnet access list
<700-799> 48-bit MAC address access list
compiled Enable IP access-list compilation
dynamic-extended Extend the dynamic ACL absolute timer
rate-limit Simple rate-limit specific access list
router(config)#
所以 - 这就是你定义mac 访问列表的方式。但是,根据我的评论,它的行为可能不像您认为的那样。它实际上旨在用于桥接 - 例如,阻止特定 MAC 地址通过桥接组。
它与您可能在消费者路由器上找到的 MAC 过滤并不真正相似,因为没有办法在标准路由接口上简单地说“不接受来自 mac 地址 x 的流量”。如果您想使用 IRB(请参阅CCO 透明桥接配置指南),您可以将 IP 放在 BVI 上,然后将它和一个或多个以太网接口加入网桥组,然后通过物理接口上的访问表达式应用 MAC 过滤器(...因此允许/阻止某些 MAC 地址或地址范围进入 BVI)。
最好的说法实际上可能是您在消费类网络设备上看到的那种 MAC 过滤实际上是交换机的一部分(包括任何集成的 AP),而基于 IP 的规则可能是路由器的一部分。为此 - 如果您使用的是 Cisco 交换机,那么您可以通过 VACL 或 PACL 以非常简单的方式应用 MAC 过滤器。然而,在充当纯路由器的设备上,情况就不同了。
我在 Cisco Feature Navigator 中搜索了功能 MAC ACL,发现提到了“MAC Filtering”。单击功能描述中的 后,我被重定向到一个文档(前面提到的那个),我没有意识到它是 XE 平台的文档(我很抱歉)。
然而,我找到了一份名为“安全配置指南:访问控制列表,Cisco IOS 版本 15M&T”的文档,但我没有找到任何关于此特定 IOS 的 MAC 过滤的信息。我可能是错的,但看起来我们可以断定这个 IOS 不支持它。