 фильтрация мак адресов во влане,  Chuck Robbins, 01-Мрт-16, 01:53 [смотреть все]помогите, третий день уже бьюсь.возникла необходимость фильтровать все мак-адреса во VLAN'e, кроме определенных.
есть замечательная статья, описывающая то же самое, но ровно наоброт - блокировка определенных мак адресов, при разрешенных всех остальных :
http://www.cisco.com/c/en/us/support/docs/switches/catalyst-... ну значит надо сделать по аналогии (подумал я).
но на самом деле ничего не взлетает. вот конфиг: mac access-list extended secure
permit host 0800.27a5.05c5 any
permit any host 0800.27a5.05c5
permit host 3c97.0e26.f302 any
permit any host 3c97.0e26.f302
permit host b40c.258e.e401 any
permit any host b40c.258e.e401
permit host 001a.6d55.fc42 any
permit any host 001a.6d55.fc42
deny any any
!
!
vlan access-map block_hosts 10
action forward
match mac address secure
! vlan filter block_hosts vlan-list 505
пробовал различные вариации из куска выше но результат всегда один и тот же. что бы я не делал всё приводит к тому, что во влане блокируется вообще весь трафик, пробовал даже с ethertype играться - одна фигня.
добавлял еще 20м правило это: vlan access-map block_hosts 20
action drop и убирал access-list'а deny any any - нихрена. блокируется весь трафик во влане вообще.
но при этом если делать как нарисовано в доке - блокировать определенные маки, разрешать все остальные - прекрасно работает. а вот в обратную сторону - нет я там уже даже добавил в permit вообще все мак-адреса, которые на свитче крутятся. в том числе и те, что на CPU :)) всё равно не работает
|
- фильтрация мак адресов во влане, Chuck Robbins, 01:54 , 01-Мрт-16 (1)
>[оверквотинг удален]
> vlan access-map block_hosts 20
> action drop
> и убирал access-list'а deny any any - нихрена. блокируется весь трафик во
> влане вообще.
> но при этом если делать как нарисовано в доке - блокировать определенные
> маки, разрешать все остальные - прекрасно работает. а вот в обратную
> сторону - нет
> я там уже даже добавил в permit вообще все мак-адреса, которые на
> свитче крутятся. в том числе и те, что на CPU :))
> всё равно не работает да, забыл, модель:
Cisco IOS Software, C3750 Software (C3750-IPSERVICESK9-M), Version 12.2(55)SE10, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2015 by Cisco Systems, Inc.
Compiled Wed 11-Feb-15 11:40 by prod_rel_team
Image text-base: 0x01000000, data-base: 0x02F00000 ROM: Bootstrap program is C3750 boot loader
BOOTLDR: C3750 Boot Loader (C3750-HBOOT-M) Version 12.2(44)SE5, RELEASE SOFTWARE (fc1) P.S. port-security не предлагать, я умру по всем портам в сетке мак-адреса прописывать и майнтейнить потом всё это)
- фильтрация мак адресов во влане, universite, 04:03 , 01-Мрт-16 (2)
> P.S. port-security не предлагать, я умру по всем портам в сетке мак-адреса
> прописывать и майнтейнить потом всё это) Гляньте NOC.Project. Похоже, у вас проблемы с управляемостью сети.
- фильтрация мак адресов во влане, Chuck Robbins, 16:49 , 01-Мрт-16 (3)
>> P.S. port-security не предлагать, я умру по всем портам в сетке мак-адреса
>> прописывать и майнтейнить потом всё это)
> Гляньте NOC.Project. Похоже, у вас проблемы с управляемостью сети.это самый простой способ решения проблемы? ))))
- фильтрация мак адресов во влане, eek, 13:32 , 02-Мрт-16 (4)
Если так:mac access-list extended secure
permit host 0800.27a5.05c5 any
permit any host 0800.27a5.05c5
permit host 3c97.0e26.f302 any
permit any host 3c97.0e26.f302
permit host b40c.258e.e401 any
permit any host b40c.258e.e401
permit host 001a.6d55.fc42 any
permit any host 001a.6d55.fc42
!-- убрали deny тут---
!
mac access-list extended not-secure
permit any any
!--сделали лист для deny через permit-- !
vlan access-map block_hosts 10
action forward
match mac address secure
!
!--добавили в vacl, deny через permit--
vlan access-map block_hosts 20
action drop
match mac address not-secure
!
vlan filter block_hosts vlan-list 505
- фильтрация мак адресов во влане, Chuck Robbins, 00:59 , 03-Мрт-16 (5)
>[оверквотинг удален]
> vlan access-map block_hosts 10
> action forward
> match mac address secure
> !
> !--добавили в vacl, deny через permit--
> vlan access-map block_hosts 20
> action drop
> match mac address not-secure
> !
> vlan filter block_hosts vlan-list 505 тоже не сработало:(
- фильтрация мак адресов во влане, Денис, 14:28 , 04-Мрт-16 (6)
>[оверквотинг удален]
>> action forward
>> match mac address secure
>> !
>> !--добавили в vacl, deny через permit--
>> vlan access-map block_hosts 20
>> action drop
>> match mac address not-secure
>> !
>> vlan filter block_hosts vlan-list 505
> тоже не сработало:( а как проверяете работоспособность VACL?
- фильтрация мак адресов во влане, Chuck Robbins, 14:40 , 04-Мрт-16 (7)
>[оверквотинг удален]
>>> match mac address secure
>>> !
>>> !--добавили в vacl, deny через permit--
>>> vlan access-map block_hosts 20
>>> action drop
>>> match mac address not-secure
>>> !
>>> vlan filter block_hosts vlan-list 505
>> тоже не сработало:(
> а как проверяете работоспособность VACL?пингаю хосты, которые добавлены в "match mac address secure". они не пингаются и во всем влане отваливается сетка.
- фильтрация мак адресов во влане, Денис, 14:45 , 04-Мрт-16 (8)
>[оверквотинг удален]
>>>> !--добавили в vacl, deny через permit--
>>>> vlan access-map block_hosts 20
>>>> action drop
>>>> match mac address not-secure
>>>> !
>>>> vlan filter block_hosts vlan-list 505
>>> тоже не сработало:(
>> а как проверяете работоспособность VACL?
> пингаю хосты, которые добавлены в "match mac address secure". они не пингаются
> и во всем влане отваливается сетка.из гайда циски:
IP traffic is not access controlled by MAC VLAN maps
- фильтрация мак адресов во влане, Денис, 14:47 , 04-Мрт-16 (9)
>[оверквотинг удален]
>>>>> action drop
>>>>> match mac address not-secure
>>>>> !
>>>>> vlan filter block_hosts vlan-list 505
>>>> тоже не сработало:(
>>> а как проверяете работоспособность VACL?
>> пингаю хосты, которые добавлены в "match mac address secure". они не пингаются
>> и во всем влане отваливается сетка.
> из гайда циски:
> IP traffic is not access controlled by MAC VLAN maps но "You can configure VLAN maps to match Layer 3 addresses for IPv4 traffic."
- фильтрация мак адресов во влане, Chuck Robbins, 15:26 , 04-Мрт-16 (10)
>[оверквотинг удален]
>>>>>> !
>>>>>> vlan filter block_hosts vlan-list 505
>>>>> тоже не сработало:(
>>>> а как проверяете работоспособность VACL?
>>> пингаю хосты, которые добавлены в "match mac address secure". они не пингаются
>>> и во всем влане отваливается сетка.
>> из гайда циски:
>> IP traffic is not access controlled by MAC VLAN maps
> но "You can configure VLAN maps to match Layer 3 addresses for
> IPv4 traffic." mac access-list extended not-secure
permit any any
mac access-list extended secure
permit host 0800.27a5.05c5 any
permit any host 0800.27a5.05c5
permit host 3c97.0e26.f302 any
permit any host 3c97.0e26.f302
permit host b40c.258e.e401 any
permit any host b40c.258e.e401
permit host 001a.6d55.fc42 any
permit any host 001a.6d55.fc42 ip access-list extended allow
permit ip any any
!
! !
vlan access-map block_hosts 10
action forward
match mac address secure
match ip address allow
vlan access-map block_hosts 20
action drop
match mac address not-secure
! vlan filter block_hosts vlan-list 505
так тоже не работает, любой ip кроме локального во влане перестает пингаться с циски :(
причем судя по всему какой-то трафик всё же матчится:
#show access-lists
Extended IP access list allow
10 permit ip any any (323 matches)
Extended MAC access list not-secure
permit any any
Extended MAC access list secure
permit host 0800.27a5.05c5 any
permit any host 0800.27a5.05c5
permit host 3c97.0e26.f302 any
permit any host 3c97.0e26.f302
permit host b40c.258e.e401 any
permit any host b40c.258e.e401
permit host 001a.6d55.fc42 any
permit any host 001a.6d55.fc42 #show arp | i 155
Internet 192.168.155.34 0 Incomplete ARPA
Internet 192.168.155.10 - 001a.6d55.fc42 ARPA Vlan505
192.168.155.10 это локальный адрес циски
без фильтрации всё ок: #sh arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.155.34 5 3005.5c7c.47f4 ARPA Vlan505
Internet 192.168.155.1 2 b40c.258e.e401 ARPA Vlan505
Internet 192.168.155.10 - 001a.6d55.fc42 ARPA Vlan505
- фильтрация мак адресов во влане, eek, 19:06 , 04-Мрт-16 (11)
Наоборот попробуйте:!
vlan access-map block_hosts 10
action drop
match mac address not-secure
!
vlan access-map block_hosts 20
action forward
match mac address secure
!
- фильтрация мак адресов во влане, Chuck Robbins, 18:50 , 07-Мрт-16 (12)
> Наоборот попробуйте:
> !
> vlan access-map block_hosts 10
> action drop
> match mac address not-secure
> !
> vlan access-map block_hosts 20
> action forward
> match mac address secure
> !всё равно не работает. попробовал еще в ваш вариант match address добавить - тоже не работает. отваливаются все хосты во влане, включая те, что в permit. какие-то пакеты все равно матчятся:
#sh access-lists
Extended IP access list allow
10 permit ip any any (409 matches)
Extended MAC access list not-secure
permit any any
Extended MAC access list secure
permit host 0800.27a5.05c5 any
permit any host 0800.27a5.05c5
permit host 3c97.0e26.f302 any
permit any host 3c97.0e26.f302
permit host b40c.258e.e401 any
permit any host b40c.258e.e401
permit host 001a.6d55.fc42 any
permit any host 001a.6d55.fc42
сейчас вариант конфига такой:
mac access-list extended not-secure
permit any any
mac access-list extended secure
permit host 0800.27a5.05c5 any
permit any host 0800.27a5.05c5
permit host 3c97.0e26.f302 any
permit any host 3c97.0e26.f302
permit host b40c.258e.e401 any
permit any host b40c.258e.e401
permit host 001a.6d55.fc42 any
permit any host 001a.6d55.fc42 !
vlan access-map block_hosts 10
action drop
match mac address not-secure
vlan access-map block_hosts 20
action forward
match mac address secure
match ip address allow
!
vlan filter block_hosts vlan-list 505
vlan internal allocation policy ascending
lldp run
!
!
!
ip access-list extended allow
permit ip any any может какой-то debug можно включить? уже не знаю в какую сторону копать.
- фильтрация мак адресов во влане, alexpn, 04:44 , 10-Мрт-16 (13)
может так ?access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
<1100-1199> Extended 48-bit MAC address access list
<1300-1999> IP standard access list (expanded range)
<200-299> Protocol type-code access list
<2000-2699> IP extended access list (expanded range)
<700-799> 48-bit MAC address access list
dynamic-extended Extend the dynamic ACL absolute timer
rate-limit Simple rate-limit specific access list
правила от
<1100-1199> Extended 48-bit MAC address access list access-list 1100 permit ?
H.H.H 48-bit hardware source address show version
Cisco IOS Software, C3750 Software (C3750-IPSERVICESK9-M), Version 12.2(55)SE9, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2014 by Cisco Systems, Inc.
Compiled Mon 03-Mar-14 22:45 by prod_rel_team
Image text-base: 0x01000000, data-base: 0x02F00000
- фильтрация мак адресов во влане, Vladimir, 00:52 , 04-Апр-16 (14)
А пробовали что-то типа такого варианта:mac access-list extended secure
deny host 0800.27a5.05c5 any
deny any host 0800.27a5.05c5
deny host 3c97.0e26.f302 any
deny any host 3c97.0e26.f302
...
permit any any
!
!
vlan access-map block_hosts 10
action drop
match mac address secure vlan access-map block_hosts 20
action forward
подзабыл теорию, но можно предположить, что попавшее под deny не будет обрабатываться 10-м правилом и попадет под 20-е.
|
Версия для распечатки
