组网需求如图1所示,Router作为企业的互联网网关,内部用户通过此Router接入互联网。由于存在某些主机滥用网络资源,需要进行访问限制。但由于这些主机可以更换IP地址,传统的防火墙限制方式难以生效。我们选择基于源MAC地址进行限制,以实现对特定主机的精准控制。
图1 企业网络配置图
以下是Router的配置操作步骤:
一、配置系统名称和VLAN批次
设置Router的系统名称为Router,并创建VLAN 10。
二、配置访问控制列表(ACL)
创建一个编号为3001的访问控制列表,并添加规则以指定匹配目的地址为网关地址(即10.1.1.1/24)。
三、配置流分类与流行为
创建流分类gate,匹配ACL 3001;创建多个流分类(mac1、mac2、mac3),分别匹配特定的源MAC地址(如0015-c50d-0001、0015-c50d-0002、0015-c50d-0003)。接着,创建一个允许通过的流行为p1,以及一个拒绝并丢弃的流行为d1。
四、配置流策略
创建一个名为myqos的流策略,将之前创建的流分类与相应的流行为进行绑定。
五、配置接口与流策略应用
在Vlanif10接口上配置IP地址,并在接口入方向应用流策略myqos。配置Ethernet2/0/0接口为Trunk类型,并允许其通过vlan 10。
验证配置结果:
在被限制的主机上,可以成功访问网关地址,但无法Ping通非内的IP地址,说明访问控制策略已生效。
配置注意事项:
请确保Switch与Router对接的接口设置为Trunk类型,并加入VLAN 10。在配置流策略时,需要注意报文的匹配顺序,应先配置允许访问网关的流分类和流行为,再配置禁止访问互联网的流分类和流行为。
