CISCO路由器上根据MAC地址过滤流量_路由技术

ssedet

如何在路由器上设置过滤掉某个特定mac地址的流量？        当针对一个MAC地址进行过滤的时候，这一动作发生在第二层。而路由器一般执行的是第三层路由的任务，只有很少情况下做桥接的时候才对进入的MAC地址进行过滤，所以这样的过滤最好设置在二层交换设备上。        但这个要求对路由器来说也不是不可能的任务，使用以下配置达到要求的效果：        ip cef//Rate-limit 需要cef的支持，路由器可能默认未启用cef    inte***ce Ethernet0/0    ip address 192.168.1.254 255.255.255.0    rate-limit input access-group rate-limit 100 8000 1500 2000 conform-action drop　exceed-action drop    //假如源MAC地址为指定值则丢弃（其他的都答应）    access-list rate-limit 100 0001.0001.abcd//要限制的MAC地址        这时候要留意，目标工作站到达该路由器之前不能经过其他三层设备，否则MAC地址会被改掉。        假如路由器是Cisco 1720, 不支持CEF,怎么办？        Cisco 1720路由器能够支持CEF, 但要求是12.0(3)T以上IP PLUS版本的软件，12.2(11)YV 起标准IP版软件也可以支持CEF。假如路由器目前IOS软件版本不够，需要升级。        也可以使用桥接(IRB)的方法来解决，这种方法只需要12.0(2)T 以上标准IP版软件即可。配置如下：        bridge irb//启用IRB支持    inte***ce Ethernet0/0    no ip address//路由做到逻辑端口BVI 1上    bridge-group 1//加入桥接组1    !    inte***ce BVI1    ip address 192.168.1.254 255.255.255.0//为桥接组1提供路由    !    bridge 1 protocol ieee//运行天生树协议防止环路    bridge 1 route ip//路由IP流量    bridge 1 address 0001.0001.abcd discard//丢弃来着于MAC地址0001.0001.abcd的数据包