最近收到粉丝的私信，遇到一个我比较少听到的名词的：MAC地址掩码。

果断可以给你讲一下啊！ 谁叫你是网络工程师呢？谁叫你这么爱学习呢？

于是，我就立马搭了个环境，分分钟让你明白！

关于MAC地址掩码，主要是涉及到二层ACL的问题。

做实验前，请读书跟我一起闭上眼，来思考？ 

一般什么时候情况会考虑用二层ACL呢？

请闭眼喔！

想出来了吗？

再别想想，别着急！

不知道你有没有想出来呢？  我自己个人觉得，主要是在同一局域网环境下才会

去考虑使用二层ACL，如果是跨网段，直接用三层ACL 好了，用来IP来控制，分分钟搞定！

于是，我搭了一个局域网的环境。

我的拓扑环境是这样子的：

有三台电脑、一台交换机、一台服务器。

PC1：

IP地址：192.168.1.2/24

MAC地址：54-89-98-0B-21-0E

PC2：

IP地址：192.168.1.3/24

MAC地址：54-89-98-BF-1B-A0

PC3：

IP地址：192.168.1.4/24

MAC地址：54-89-98-31-42-98

Server：

IP地址：192.168.1.5/24

步骤：

1、给每个PC配上IP地址、掩码，

2、给服务器配上地址。

验证：（在交换机未做二层ACL时）

每台PC访问server 的连通性。

结论：

每台PC现在都能访问server！！！

假如这是一个小型公司的网络，可能需要限制某些人不能访问服务器。那么，你就可以使用二层 ACL来实现这个需求。大家都知道，二层通信，都是通过MAC地址来通信的。那么我们就可以写个二层 ACL来根据MAC地址进行访问控制。

关键配置：

这里明确指出了，acl 编号4000-4999是二层acl。那你就老老实实，在里面取一根编号吧！

我现在就写一条acl，只允许mac地址为：54-89-98-0B-21-0E；其他的都不能访问。

acl number 4001

 rule 1 permit source-mac 5489-980b-210e

 rule 2 deny

rule 1 permit source-mac 5489-980b-210e 这样直接回车，那么默认源MAC地址的掩码为：ffff-ffff-ffff

理解MAC地址掩码：

掩码你可以理解为就是执行与运算。 如果你连与运算也不懂，那我就简单地说吧。就是乘法运算。把地址和ffff-ffff-ffff 每个位独立相乘一下。

f=1111。  ffff-ffff-ffff，就是48位mac地址全为1。

这么说，就是如果不写掩码，默认ffff-ffff-ffff，就是等于默认值允许源地址指定的一台主机。

好了。回正题。

配完ACL，就要干嘛？

就要接口调用啊！

现在就可以验证了，只要PC1可以访问server 192.168.1.5.

But，如果你掩码写成这样，那么他们就都可以通了：

 rule 1 permit source-mac 5489-0000-0000 ffff-0000-0000

三台都可以通了。

为什么可以通？

细心的人就会发现，这3台电脑的mac至少前面54-89，于是我mac地址掩码写成： ffff-0000-0000 ，意思就是只检查前面第一段，5489，只要数据包匹配这个，我就允许通过。不管后面地址是什么数字。 

总结一下吧！

MAC地址掩码，就是配合前面source-mac-add来实现控制范围，是指一台还是指一个mac地址范围呢？

简介一句话就是：掩码1就是做检查，检查是否匹配。 掩码0就是不做检查，不管是多少，忽略不看。

二层ACL我这里是举个简单例子而已。大家有兴趣，可以做一些其他的。不然做个复杂的二层ACL ，添加目的MAC  地址。