h3c防火墙如何过滤掉有个mac地址的包？

h3c防火墙如何过滤掉有个mac地址的包？

使用web登录，有黑名单的。找一找。里边就可以过滤

你部署防火墙的方式（透明网桥模式？还是路由模式）其它什么包过滤方式！端口的trustzone和untrustzone设置！管理ip地址设置都与你的这些部署模式有关！ 如果你的h3c防火墙和下联交换机是傻瓜交换机！即各pc没有其它网段（多vlanif地址）！可以按照你的办法实现！首先利用ip扫描工具！把你所有的ip与mac对应信息记录下来！在在h3c防火墙的web管理界面做ip/mac绑定即可！剩下的不用ip地址！直接绑定到不存在的mac地址上！例如firewall mac-binding 192.168.1.100 aaaa-eeee-bbbb，这样当有非法用户用192.168.1.100这个ip时！检查不是aaaa-eeee-bbbb则deny了（1个mac地址可以绑定多个ip）！ 如果防火墙下面的核心交换机如果配置了多个网段（若干vlan地址段）！那对不起！此时除了和防火墙同一网段的pc机可以在防火墙上做ip+mac绑定外！其它网段无法实现绑定！因为此时到防火墙去的报文的源mac地址都变成了本网段网关的mac地址，会失效的！如果是这种网络环境！可以在核心上做arp static ip mac！不用的ip也绑定到不存在的mac上！也可以在接入层交换机上做ip+mac绑定！ 如果你的目的是为了防治arp欺骗！可以这样做！如果你是为了控制别人上网！建议你使用三层核心或者防火墙上的高级acl+qos来做，要方便的多。