ACL访问控制--基于IP或MAC地址

一、适配场景

适用于部分办公场景中，想要禁止财务电脑访问外网，但是可以和内网内的其他网段（如内部服务器）可以互访，此时可以通过EG的访问控制功能实现。

二、网络拓扑

三、配置规划

1、确认禁止访问外网的财务电脑网段为192.168.200.0/24。

2、登录EG进行访问控制功能配置。

四、配置步骤

1、选择：路出口由器>行为管理>访问控制>添加

image.png

2、配置访问控制策略的参数

image.png①基于：可以选择基于MAC或者IP来配置策略。本文选择IP

②源IP/网段:端口&目的IP/网段:端口：禁止源IP（谁）去访问目的IP，为空代表所有IP。本文是需要禁止192.168.200.0网段上网，故此处源IP填写192.168.200.0/24，目的IP为空。

③协议类型：选择需要生效策略的协议，根据实际需求选择；本文选择所有协议。

④策略类型：”允许“或者”阻断“；本文需要禁止上网，所以选择阻断。

⑤生效时间：选择策略生效的时间，可以自定义；本文选择所有时段

⑥生效接口域：“内网”是指内网的互访数据流，“外网”是禁止内网到外网的数据流。本文选择外网

⑦备注：自定义即可

3、配置完成后如下：

image.png

4、效果验证

在内网电脑192.168.200.10上，测试电脑能否上网，可以用ping 外网地址来测试image.png

MAC地址过滤黑名单--基于MAC地址