На коммутаторах есть возможность настраивать списки контроля доступа (ACL) на основае MAC address.
Разберем пример, в котором мы создадим список контроля доступа и рассмотрим возможности фильтрации с использованием данного списка
Создание ACL выполняется при помощи команды
console(Config)# mac access-list extended TEST
Рарешим доступ с любого MAC до хоста e0:d9:e3:e6:9d:80 в vlan 3
console(Config-mac-access-list)# permit any e0:d9:e3:e6:9d:80 00:00:00:00:00:00 vlan eq 3
Для хоста e0:d9:e3:e6:9d:01 в vlan 5 установим огарничение скорости по rate-limit в 5Мбит/с
console(Config-mac-access-list)# permit any e0:d9:e3:e6:9d:01 00:00:00:00:00:00 vlan eq 5 rate-limit 5000 128
Настроим проверку C-VLAN(внутренней метки при QinQ). Пропускаем любой трафик с C-vlan 20
console(Config-mac-access-list)# permit any any secondary-vlan eq 20
Пропускаем весь PPPoE(фильтрация по ethType) трафик в vlan 4
console(Config-mac-access-list)# permit any any 0x8863 vlan eq 4
По умолчанию в ACL последнее правило deny any any
Список контроля доступа можно привязать к физическому интерфейсу или к SVI на in или out
Пример настройки к порт interface 1/0/1
console(Interface 1/0/1)# mac access-group TEST in
Команда для просмотра работы ACL на порту. В выводе можно увидеть порты с ACL, а также счетчик работы по каждому правилу
console# show mac access-lists TEST
ACL Name: TEST
ACL Counters: Enabled
Inbound Interface(s): 1/0/1
Sequence Number: 10
Action......................................... permit
Destination MAC Address........................ E0:D9:E3:E6:9D:80
Destination MAC Mask........................... 00:00:00:00:00:00
VLAN........................................... 3
ACL Hit Count.................................. 0
Sequence Number: 20
Action......................................... permit
Destination MAC Address........................ E0:D9:E3:E6:9D:80
Destination MAC Mask........................... 00:00:00:00:00:00
VLAN........................................... 5
Committed Rate................................. 5000
Committed Burst Size........................... 128
ACL Hit Count.................................. 0
Sequence Number: 30
Action......................................... permit
Secondary VLAN................................. 20
ACL Hit Count.................................. 0
Sequence Number: 40
Action......................................... permit
Ethertype...................................... 0x8863
VLAN........................................... 4
ACL Hit Count.................................. 0