FS728TPv2、FS752TP、GS110TP/GS108Tv2、GS724Tv3/GS716Tv2、GS748Tv4和GS752TXS等智能网管交换机支持完整的MAC ACL的功能，能通过对源或目标MAC地址定义网络中的访问规则。下面我们就通过FS752TP上的一个例子来描述如何设置这些交换机的MAC ACL。

一、网络拓扑图

设置环境

交换机型号：FS752TP
FW：V5.0.2.15

实现目的

在端口48上阻止PC1（MAC地址为：00:26:f2:b2:76:31）访问其他电脑和网络。

二、MAC ACL设置步骤详解

1. 新建MAC ACL
   进入Security > ACL > Basic > MAC ACL菜单，新建一个MAC ACL如“denymac1”，点击右下角的ADD添加。
   
2. 添加 MAC ACL 规则
   进入Security > ACL > Basic > MAC ACL菜单，添加一条MAC规则，即阻止00:26:f2:b2:76:31访问任何网络。
   
   ID (1 to 10)：输入规则编号1
   Action：操作，可选择Permit（允许）和Deny（禁止），这里选Deny
   Match Every：可以选择False和True。最后一条规则选True，否则选False，由于默认规则为拒绝所有，这里先选False
   Destination MAC：目的MAC地址，这里填入ff:ff:ff:ff:ff:ff，表示所有电脑
   Destination MAC Mask：目的通配符掩码，这里填入ff:ff:ff:ff:ff:ff
   Source MAC：源MAC地址，这里填入一台PC1的MAC地址00:26:f2:b2:76:31
   Source MAC Mask：通配符掩码，类似于IP ACL的反掩码，填入00:00:00:00:00:00表示指定这一个MAC，类似反掩码的0.0.0.0。
   VLAN：这个MAC ACL在哪个VLAN中生效
   设置好后，点击右下角的ADD添加。
    
3. 新建允许所有的规则
   由于ACL默认是禁止所有MAC地址访问的，所以在添加了阻止PC1的MAC地址的规则之后，需要添加一条允许所有的规则。
   
   ID (1 to 10)：输入规则编号2
   Action：选择Permit
   Match Every：最后一条规则选True
   其他参数无需配置，点击右下角的ADD添加。
    
4. 将MAC ACL应用到端口
   进入Security > ACL > Basic > MAC Binding Configuration菜单，ACL ID选择“denymac1”，单击下面的PORT橙条，选择端口48，点击右下角的APPLY将MAC ACL“denymac1”应用到48号端口。
   
   其中的Sequence Number（序号）可定义ACL生效的优先次序，此序号可自定义，取值范围为1 – 4294967295，如果不定义，交换机将自动生成序号，从序号1开始往上递增。较小的序号优先级高，直至匹配到最后一条规则—即True规则为止。
   注意：手动配置的序号与现有的序号相同时，将覆盖之前的ACL。
    
5. 查看 MAC ACL 绑定列表
   进入Security > ACL > Basic > Binding Table菜单，可查看MAC ACL绑定列表。
   
   如果需要取消MAC ACL与端口的绑定关系，选取绑定条目，然后点击右下角的DELETE删除即可。
   注意：每个端口最多应用10条规则（Rule）。
   生效的顺序根据MAC Binding Configuration的Sequence Number（序号）确定，可自定义此序号，取值范围为1 – 4294967295。如果不定义，交换机将自动生成序号，从序号1开始往上递增。较小的序号优先级高，直至匹配到最后一条规则—即True规则为止。
    
6. 测试绑定MAC ACL的效果
   PC1通过48号端口连接到FS752TP，应用MAC ACL前从PC1到网关ping值：
   
   应用MAC ACL后从PC1到网关ping值：