交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、组网需求
MAC过滤功能,是对通过网桥的数据包进行检查,是否为特定的MAC地址、是否为组播报文、并检查报文的协议信息,如果发现有用户匹配定义的过滤条件则丢弃数据包。 MAC过滤功能是对报文的二层处理,并且只对通过网桥的数据包进行检查处理。(也就是此功能只能用于桥接口,路由口不适用)。
二、组网拓扑
三、配置要点
先确定内网在不使用防火墙的MAC地址过滤功能之前,网络使用是正常的。
1、配置MAC地址过滤
MAC地址过滤功能只能用于桥模式
配置了 MAC 过滤后,就阻止了该 MAC 地址用户在网桥中的报文传输。可以分为永久阻断和指定阻断时间。
2、配置了组播过滤、非IP协议过滤
组播过滤只过滤 MAC 地址的首字节为 0x01 的组播报文,广播报文并不会被过滤,启用此功能前请确认是否过滤所有组播报文。
配置了非IP 协议过滤后, ARP、 PPPOE报文、封装了IP 的VLAN报文不会被过滤,只有封装了 IPX 与AppleTalk 的PPPOE会话报文会被过滤,该功能请慎重使用。
3、命令行删除过滤配置
如果管理员在测试此功能时误操作,导致自身无法管理设备,此时可以用配置线登录到命令行到取消相关命令。
四、配置步骤
本案例中GE4和GE5两个接口组成一对桥
新建透明桥,如下图所示
配置桥管理地址为192.168.2.1
配置MAC地址过滤功能
新建MAC过滤条目,指定想要限制的MAC地址,如果选择永久阻断,那么该MAC后续就一直无法正常通讯,也可以设置要阻断多久时间。
当前有哪些经过防火墙的用户MAC,可以在 转发表里看见
下图中,老化时间为static 的条目表示的是防火墙物理接口自身的MAC
2、配置了组播过滤,
如果没有特殊的需求,请不要使用该功能
3、命令行删除过滤配置
命令行下配置mac过滤功能
Username: admin
Password: //此处的密码与网页登陆密码一致
RG-WALL> en
RG-WALL#
RG-WALL(config)# mac-filter mac f0-de-f1-80-74-7f time 1 //对f0-de-f1-80-74-7f 的MAC阻断1分钟
RG-WALL(config)# no mac-filter mac f0-de-f1-80-74-7f //取消对f0-de-f1-80-74-7f 的阻断
五、配置验证
下图是阻断GE4口下的PC1,IP:192.168.2.5 MAC:f0-de-f1-80-74-7f ,此时它就无法ping通防火墙的GE5口下同网段的PC2:192.168.2.10