业务需求 　　

　　需要限制终端通过三层核心交换机上的MAC地址访问外网(S5700)，但不会影响其访问内网其他网段。 　　

　　网络拓扑结构 　　

　　[方案1] 　　

　　注意：下例中，内网网段为192.168.0.0/16，两个终端的MAC地址有限。如果仍然需要添加受限终端，可以继续添加ACL规则。 　　

　　配置思路：通过高级ACL允许内网IP互访，通过二层ACL拒绝MAC地址，然后在同一个策略中应用两个CB对(先允许内网IP互访，再拒绝终端MAC)。 　　

　　#acl编号3001 //定义访问规则，允许内部网段相互访问。规则5 Permit IP Source 192 . 168 . 0 . 0 . 255 . 255 Destination 192 . 168 . 0 . 0 . 255 . 255 # ACL number 4001//定义访问规则，仅某个终端的MAC地址，规则5 deny Source-MAC 5489-9887-5c 67 rule 10 deny Source-MAC 5489-98 a4-196 e #流量分类器lan.ip运算符和if-match ACL 3001 traffs分类器局域网。IP行为Test1分类器拒绝。SMAC行为测试1 #流量-策略测试1全局入站//全局应用流量策略#[方案2] 　　

　　配置思路：制定不允许通过高级ACL访问外网的规则，然后利用流量分类的逻辑与关系，以高级ACL和源MAC为条件控制访问。 　　

　　#acl编号3002 //定义访问规则，仅访问内网网段规则5允许IP源192.168.0.0 0.0.255.255目的地192 . 168 . 0 . 0 . 0 . 0 . 255规则1000拒绝IP #流量分类器deny.smac1运算符和//创建流量分类，注意运算符必须是" AND " if-match ACL 3002 if-match source-MAC 5489-9887-5c 67//Setsmac1行为测试2分类器拒绝。smac2行为测试2 #流量-策略测试2全局入站//全局应用流量策略#注意：流量分类中的“与”是指ACL规则和非ACL规则的关系，即假设流量分类中同时配置了两个ACL(如高级ACL和二层ACL)，设备会按照ACL配置的顺序进行匹配。匹配后后面配置的ACL规则就不匹配了，ACL规则直接是and，而不是这两个ACL之间的AND，达不到预期的效果。 　　

　　总结和建议： 　　

　　如果有多个终端MAC要拒绝，建议使用【方案一】，后期添加终端MAC时更方便。 　　

　　如果只是暂时拒绝单个终端MAC，【方案2】相对简洁。 　　

　　通过这两个方案，我们可以对流量策略和ACL的关系有更深入的了解。