6.7.3 创建并应用端口访问列表

6.7.3  创建并应用端口访问列表
在VLAN或二层接口上，可以使用MAC地址和MAC扩展ACL名称过滤非IP地址通信，从而保障企业网络访问安全，拒绝非授权用户对敏感部门的访问。配置过程与其他扩展名称ACL相似。

1．创建端口扩展访问列表名称
  
第1步：进入全局配置模式。
Switch# configure terminal

第2步：为扩展MAC地址列表定义一个名称，进入扩展MAC地址列表配置模式。
Switch(config)# mac access-list extended name

第3步：定义允许或拒绝的源MAC地址或目的MAC地址。使用Host，可以指定特定主机的MAC地址；使用掩码，可以指定多个主机MAC地址。
Switch (config-ext-macl# {deny | permit} {any | host source MAC address | source MAC address mask} {any | host destination MAC address | destination MAC address mask}

第4步：返回特权配置模式。
Switch(config-ext-mac)# end

第5步：校验当前设置。
Switch# show access-lists name

第6步：保存当前配置。
Switch# copy running-config startup-config

2．将端口访问列表应用到二层接口
  
第1步：进入全局配置模式。
Switch# configure terminal

第2步：指定欲应用该IP访问列表的二层接口。
Switch(config)#interface interface-id

第3步：将MAC访问列表应用到二层接口。注意，该命令不适用于EtherChannle。
Switch(config-if)# mac access-group {name} {in}

第4步：返回特权配置模式。
Switch(config-if)# end

第5步：校验当前设置。
Switch# show mac access-group [interface interface-id]

第6步：保存当前配置。
Switch# copy running-config startup-config