取消
显示结果 
搜索替代 
您的意思是: 
cancel
9762
查看次数
0
有帮助
5
回复

交换机mac过滤

leimin fan
Spotlight
Spotlight
用户环境是这样的,核心是3750交换机有个195和199两个网段,通过trunk口下连一台第三方的二层交换机,有个H3C的ap连接在该二层交换机上,属于199网段,SSID开放不需要认证。
因为是生产线上测试无线设备,测试设备需要连接到这个SSID上上网去验证一些东西,又不想其他人用手机连接到这个SSID上去上网。关键的问题就是客户端每周都会换一批,必须使用dhcp,用不能静态设置IP地址。
用户有每批测试终端设备的mac地址表, 需要实现,这些mac地址的设备连接改SSID可以上网,其他的设备接入网络不允许上网。
我通过配制VACL,配置如下:
3750上的VACL
mac access-list extended devices-mac
permit host 0000.0000.0001 any ##所有终端设备的mac地址
permit any host 0000.0000.0001
permit host 0000.0000.0002 any
permit any host 0000.0000.0002
permit host 0000.0000.0003 any
permit any host 0000.0000.0003
......
vlan access-map vlan-map 10
action forward
match mac address devices-mac
vlan access-map vlan-map 20
action drop
vlan filter vlan-map vlan-list 199
但是应用后所有终端都不能上网, 这个还需要添加下联二层交换机和AP的mac地址吗? 应该不需要吧
或者是我直接把这个devices-mac的acl应用到3750连接二层交换机的接口上可以吗? (因为生产环境,所有没试)
不知道大家有没有做过这个, 有没有其他比较好的解决方案呢?
在线等.......
1 个已接受解答

已接受的解答

sxhcnet2010
Level 1
Level 1
可以在无线设备(包含无线控制器或无线接入点)上做MAC地址过滤,此功能无线设备都是支持的,可以允许在MAC地址池里面的允许上网,MAC地址池以为的不允许连接上网。

在原帖中查看解决方案

5 条回复5

sxhcnet2010
Level 1
Level 1
可以在无线设备(包含无线控制器或无线接入点)上做MAC地址过滤,此功能无线设备都是支持的,可以允许在MAC地址池里面的允许上网,MAC地址池以为的不允许连接上网。

master liu
Level 1
Level 1
h3c无线不能做白名单?

edenzhang
Level 1
Level 1
个人认为应该在AP上进行控制。

leimin fan
Spotlight
Spotlight
sxhcnet2010 发表于 2015-4-27 13:41 back.gif
可以在无线设备(包含无线控制器或无线接入点)上做MAC地址过滤,此功能无线设备都是支持的,可以允许在MAC ...

我查了,思科的无线AP 命令行下可以写2048条mac过滤条目,但是我们这里用的是H3C的AP, 只能写64个mac过滤条目, 不够用的。

ganbing
Community Member
无线设备上做MAC地址过滤,无线设备应该要配置路由模式,一般都是配的旁路模式。
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接