三层交换机怎样设置MAC白名单？只允许指定的MAC地址上网

在三层交换机环境下，由于三层交换机屏蔽了终端的实际mac地址，上层的上网行为管理在不开启“MAC地址收集器”的情况下，是检测不到终端的实际mac地址的。这样也就不能实现mac地址黑白名单的功能。网络结构如下图：

1. 开启mac地址收集器

不开启mac地址收集器时，WSG的实时流量图中显示的mac地址都是一样的。

需要开启WSG模块-其他里面的“mac地址收集器”。 这样才可以获取到三层交换机下面的客户机的实际mac地址。

2. 创建MAC白名单组

在”组配置“中添加白名单组，并且把要放行的mac地址都配置进去。如图：

3. 对mac白名单组放行所有

例外设置是最优先的，添加到例外设置的内容不会收到其他行为管理策略的管控。在”例外设置“中添加规则，应用对象选择”mac白名单“组，放行内容输入”*:*“即可放行所有。