51CTO技术论坛_中国领先的IT技术社区 » 华为技术 » 华为AR28-11能不能根据MAC地址限制计算机能否上网？

caizhen 发表于 2008-9-8 15:06

华为AR28-11能不能根据MAC地址限制计算机能否上网？

如题

blueice 发表于 2008-9-8 15:36

帮你顶。。。

wanghaoqd 发表于 2008-9-8 16:44

可以通过二层访问控制列表来过滤mac地址，只允许事先定义好的mac地址访问路由器。也可以通过arp绑定的方法来做，就是在路由器上绑定用户的ip和mac地址。

通过二层访问控制列表进行过滤的步骤是：
#进入系统视图
system-view
#启用防火墙并将默认规则设置为放行
firewall enable
firewall default permit
#定义4000号二层ACL，将允许上网的计算机MAC地址添加进ACL中，禁止其它所有MAC地址的访问请求
acl number 4000
rule 0 permit source-mac 1111-1111-1111 ffff-ffff-ffff
rule 1 permit source-mac 1111-1111-1112 ffff-ffff-ffff
rule 2 permit source-mac 1111-1111-1113 ffff-ffff-ffff
rule 3 permit source-mac 1111-1111-1114 ffff-ffff-ffff
...
...
rule 9 deny
#返回系统视图
quit
#进入LAN口配置视图
interface e 0/0/1
#在端口的inbound方向应用ACL
firewall ethernet-frame-filter 4000 inbound
#返回系统视图
quit
#返回用户视图
quit
#保存设置
save

arp绑定的命令格式是：
arp static [IP地址] [MAC地址]
将允许上网的所有IP地址都与对应的MAC地址绑定，没使用的IP可与不存在的mac地址如0011-2233-4455相绑定，这样就可以防止盗用IP上网的行为了。

[[i] 本帖最后由 wanghaoqd 于 2008-9-8 17:16 编辑 [/i]]

king_ymf 发表于 2008-9-8 17:06

顶啊，呵呵

zhangzhibin 发表于 2008-9-12 10:23

回答的很好。学习了

查看完整版本: 华为AR28-11能不能根据MAC地址限制计算机能否上网？