Una ACL de Capa 2 define reglas para filtrar paquetes IPv4 e IPv6 en función de la información de la trama Ethernet, como las direcciones MAC de origen, las direcciones MAC de destino, las VLAN y los tipos de protocolo de Capa 2.
Si sólo necesita filtrar paquetes en función de la información de la Capa 2, se debe configurar una ACL de Capa 2.
Configuración de reglas para una ACL de capa 2:
Configuración de reglas de filtrado de paquetes basadas en la dirección MAC de origen, la dirección MAC de destino y los tipos de protocolo de Capa 2
Para permitir el paso de los paquetes ARP con las direcciones MAC de origen y destino y el tipo de protocolo de Capa 2 especificados, configure una regla en una ACL de Capa 2. Por ejemplo, para permitir el paso de los paquetes ARP con la dirección MAC de destino 0000-0000-0001, la dirección MAC de origen 0000-0000-0002 y el tipo de protocolo de Capa 2 0x0806 (ARP), configure la siguiente regla en la ACL 4001.
<HUAWEI> system-view
[HUAWEI] acl 4001
HUAWEI-acl-L2-4001] rule permit destination-mac 0000-0000-0001 source-mac 0000-0000-0002 l2-protocol 0x0806
Para rechazar los paquetes PPPoE con el tipo de protocolo de capa 2 especificado, configure una regla en una ACL de capa 2. Para rechazar los paquetes PPPoE con el tipo de protocolo de capa 2 0x8863, configure la siguiente regla en la ACL 4001.
<HUAWEI> system-view
[HUAWEI] acl 4001
[HUAWEI-acl-L2-4001] rule deny l2-protocol 0x8863
Configuración de una regla de filtrado de paquetes basada en el segmento de la dirección MAC de origen y los ID de VLAN internos
Para rechazar los paquetes de los segmentos de direcciones MAC especificados en una VLAN, configure una regla en una ACL de capa 2. Por ejemplo, para rechazar los paquetes del segmento de dirección MAC de origen 00e0-fc01-0000 a 00e0-fc01-ffff en la VLAN 10, configure la siguiente regla en la ACL de capa 2 deny-vlan10-mac.
<HUAWEI> system-view
[HUAWEI] acl name deny-vlan10-mac link
[HUAWEI-acl-L2-deny-vlan10-mac] rule deny vlan-id 10 source-mac 00e0-fc01-0000 ffff-ffff-0000