форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение		[ Отслеживать ]

"фильтрация мак адресов во влане"	+/–
Сообщение от Chuck Robbins on 01-Мрт-16, 01:53
помогите, третий день уже бьюсь. возникла необходимость фильтровать все мак-адреса во VLAN'e, кроме определенных. есть замечательная статья, описывающая то же самое, но ровно наоброт - блокировка определенных мак адресов, при разрешенных всех остальных : http://www.cisco.com/c/en/us/support/docs/switches/catalyst-... ну значит надо сделать по аналогии (подумал я). но на самом деле ничего не взлетает. вот конфиг: mac access-list extended secure permit host 0800.27a5.05c5 any permit any host 0800.27a5.05c5 permit host 3c97.0e26.f302 any permit any host 3c97.0e26.f302 permit host b40c.258e.e401 any permit any host b40c.258e.e401 permit host 001a.6d55.fc42 any permit any host 001a.6d55.fc42 deny any any ! ! vlan access-map block_hosts 10 action forward match mac address secure ! vlan filter block_hosts vlan-list 505 пробовал различные вариации из куска выше но результат всегда один и тот же. что бы я не делал всё приводит к тому, что во влане блокируется вообще весь трафик, пробовал даже с ethertype играться - одна фигня. добавлял еще 20м правило это: vlan access-map block_hosts 20 action drop и убирал access-list'а deny any any - нихрена. блокируется весь трафик во влане вообще. но при этом если делать как нарисовано в доке - блокировать определенные маки, разрешать все остальные - прекрасно работает. а вот в обратную сторону - нет я там уже даже добавил в permit вообще все мак-адреса, которые на свитче крутятся. в том числе и те, что на CPU :)) всё равно не работает
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "фильтрация мак адресов во влане"	+/–
Сообщение от Chuck Robbins on 01-Мрт-16, 01:54
>[оверквотинг удален] > vlan access-map block_hosts 20 >  action drop > и убирал access-list'а deny any any - нихрена. блокируется весь трафик во > влане вообще. > но при этом если делать как нарисовано в доке - блокировать определенные > маки, разрешать все остальные - прекрасно работает. а вот в обратную > сторону - нет > я там уже даже добавил в permit вообще все мак-адреса, которые на > свитче крутятся. в том числе и те, что на CPU :)) > всё равно не работает да, забыл, модель: Cisco IOS Software, C3750 Software (C3750-IPSERVICESK9-M), Version 12.2(55)SE10, RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2015 by Cisco Systems, Inc. Compiled Wed 11-Feb-15 11:40 by prod_rel_team Image text-base: 0x01000000, data-base: 0x02F00000 ROM: Bootstrap program is C3750 boot loader BOOTLDR: C3750 Boot Loader (C3750-HBOOT-M) Version 12.2(44)SE5, RELEASE SOFTWARE (fc1) P.S. port-security не предлагать, я умру по всем портам в сетке мак-адреса прописывать и майнтейнить потом всё это)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "фильтрация мак адресов во влане"	+/–
	Сообщение от universite (ok) on 01-Мрт-16, 04:03
	> P.S. port-security не предлагать, я умру по всем портам в сетке мак-адреса > прописывать и майнтейнить потом всё это) Гляньте NOC.Project. Похоже, у вас проблемы с управляемостью сети.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "фильтрация мак адресов во влане"	+/–
	Сообщение от Chuck Robbins on 01-Мрт-16, 16:49
	>> P.S. port-security не предлагать, я умру по всем портам в сетке мак-адреса >> прописывать и майнтейнить потом всё это) > Гляньте NOC.Project. Похоже, у вас проблемы с управляемостью сети. это самый простой способ решения проблемы? ))))
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "фильтрация мак адресов во влане"	+/–
Сообщение от eek (ok) on 02-Мрт-16, 13:32
Если так: mac access-list extended secure permit host 0800.27a5.05c5 any permit any host 0800.27a5.05c5 permit host 3c97.0e26.f302 any permit any host 3c97.0e26.f302 permit host b40c.258e.e401 any permit any host b40c.258e.e401 permit host 001a.6d55.fc42 any permit any host 001a.6d55.fc42 !-- убрали deny тут--- ! mac access-list extended not-secure permit any any !--сделали лист для deny через permit-- ! vlan access-map block_hosts 10 action forward match mac address secure ! !--добавили в vacl, deny через permit-- vlan access-map block_hosts 20 action drop match mac address not-secure ! vlan filter block_hosts vlan-list 505
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "фильтрация мак адресов во влане"	+/–
	Сообщение от Chuck Robbins on 03-Мрт-16, 00:59
	>[оверквотинг удален] > vlan access-map block_hosts 10 > action forward > match mac address secure > ! > !--добавили в vacl, deny через permit-- > vlan access-map block_hosts 20 > action drop > match mac address not-secure > ! > vlan filter block_hosts vlan-list 505 тоже не сработало:(
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "фильтрация мак адресов во влане"	+/–
	Сообщение от Денис (??) on 04-Мрт-16, 14:28
	>[оверквотинг удален] >> action forward >> match mac address secure >> ! >> !--добавили в vacl, deny через permit-- >> vlan access-map block_hosts 20 >> action drop >> match mac address not-secure >> ! >> vlan filter block_hosts vlan-list 505 >  тоже не сработало:( а как проверяете работоспособность VACL?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "фильтрация мак адресов во влане"	+/–
	Сообщение от Chuck Robbins on 04-Мрт-16, 14:40
	>[оверквотинг удален] >>> match mac address secure >>> ! >>> !--добавили в vacl, deny через permit-- >>> vlan access-map block_hosts 20 >>> action drop >>> match mac address not-secure >>> ! >>> vlan filter block_hosts vlan-list 505 >>  тоже не сработало:( > а как проверяете работоспособность VACL? пингаю хосты, которые добавлены в "match mac address secure". они не пингаются и во всем влане отваливается сетка.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "фильтрация мак адресов во влане"	+/–
	Сообщение от Денис (??) on 04-Мрт-16, 14:45
	>[оверквотинг удален] >>>> !--добавили в vacl, deny через permit-- >>>> vlan access-map block_hosts 20 >>>> action drop >>>> match mac address not-secure >>>> ! >>>> vlan filter block_hosts vlan-list 505 >>>  тоже не сработало:( >> а как проверяете работоспособность VACL? > пингаю хосты, которые добавлены в "match mac address secure". они не пингаются > и во всем влане отваливается сетка. из гайда циски: IP traffic is not access controlled by MAC VLAN maps
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "фильтрация мак адресов во влане"	+/–
	Сообщение от Денис (??) on 04-Мрт-16, 14:47
	>[оверквотинг удален] >>>>> action drop >>>>> match mac address not-secure >>>>> ! >>>>> vlan filter block_hosts vlan-list 505 >>>>  тоже не сработало:( >>> а как проверяете работоспособность VACL? >> пингаю хосты, которые добавлены в "match mac address secure". они не пингаются >> и во всем влане отваливается сетка. > из гайда циски: > IP traffic is not access controlled by MAC VLAN maps но "You can configure VLAN maps to match Layer 3 addresses for IPv4 traffic."
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "фильтрация мак адресов во влане"	+/–
	Сообщение от Chuck Robbins on 04-Мрт-16, 15:26
	>[оверквотинг удален] >>>>>> ! >>>>>> vlan filter block_hosts vlan-list 505 >>>>>  тоже не сработало:( >>>> а как проверяете работоспособность VACL? >>> пингаю хосты, которые добавлены в "match mac address secure". они не пингаются >>> и во всем влане отваливается сетка. >> из гайда циски: >> IP traffic is not access controlled by MAC VLAN maps > но "You can configure VLAN maps to match Layer 3 addresses for > IPv4 traffic." mac access-list extended not-secure permit any any mac access-list extended secure permit host 0800.27a5.05c5 any permit any host 0800.27a5.05c5 permit host 3c97.0e26.f302 any permit any host 3c97.0e26.f302 permit host b40c.258e.e401 any permit any host b40c.258e.e401 permit host 001a.6d55.fc42 any permit any host 001a.6d55.fc42 ip access-list extended allow permit ip any any ! ! ! vlan access-map block_hosts 10 action forward match mac address secure match ip address allow vlan access-map block_hosts 20 action drop match mac address not-secure ! vlan filter block_hosts vlan-list 505 так тоже не работает, любой ip кроме локального во влане перестает пингаться с циски :( причем судя по всему какой-то трафик всё же матчится: #show access-lists Extended IP access list allow     10 permit ip any any (323 matches) Extended MAC access list not-secure     permit any any Extended MAC access list secure     permit host 0800.27a5.05c5 any     permit any host 0800.27a5.05c5     permit host 3c97.0e26.f302 any     permit any host 3c97.0e26.f302     permit host b40c.258e.e401 any     permit any host b40c.258e.e401     permit host 001a.6d55.fc42 any     permit any host 001a.6d55.fc42 #show arp  | i 155 Internet  192.168.155.34          0   Incomplete      ARPA Internet  192.168.155.10          -   001a.6d55.fc42  ARPA   Vlan505 192.168.155.10   это локальный адрес циски без фильтрации всё ок: #sh arp Protocol  Address          Age (min)  Hardware Addr   Type   Interface Internet  192.168.155.34          5   3005.5c7c.47f4  ARPA   Vlan505 Internet  192.168.155.1           2   b40c.258e.e401  ARPA   Vlan505 Internet  192.168.155.10          -   001a.6d55.fc42  ARPA   Vlan505
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "фильтрация мак адресов во влане"	+/–
	Сообщение от eek (ok) on 04-Мрт-16, 19:06
	Наоборот попробуйте: ! vlan access-map block_hosts 10 action drop match mac address not-secure ! vlan access-map block_hosts 20 action forward match mac address secure !
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "фильтрация мак адресов во влане"	+/–
	Сообщение от Chuck Robbins on 07-Мрт-16, 18:50
	> Наоборот попробуйте: > ! > vlan access-map block_hosts 10 > action drop > match mac address not-secure > ! > vlan access-map block_hosts 20 > action forward > match mac address secure > ! всё равно не работает. попробовал еще в ваш вариант match address добавить - тоже не работает. отваливаются все хосты во влане, включая те, что в permit. какие-то пакеты все равно матчятся: #sh access-lists Extended IP access list allow     10 permit ip any any (409 matches) Extended MAC access list not-secure     permit any any Extended MAC access list secure     permit host 0800.27a5.05c5 any     permit any host 0800.27a5.05c5     permit host 3c97.0e26.f302 any     permit any host 3c97.0e26.f302     permit host b40c.258e.e401 any     permit any host b40c.258e.e401     permit host 001a.6d55.fc42 any     permit any host 001a.6d55.fc42 сейчас вариант конфига такой: mac access-list extended not-secure permit any any mac access-list extended secure permit host 0800.27a5.05c5 any permit any host 0800.27a5.05c5 permit host 3c97.0e26.f302 any permit any host 3c97.0e26.f302 permit host b40c.258e.e401 any permit any host b40c.258e.e401 permit host 001a.6d55.fc42 any permit any host 001a.6d55.fc42 ! vlan access-map block_hosts 10 action drop match mac address not-secure vlan access-map block_hosts 20 action forward match mac address secure match ip address allow ! vlan filter block_hosts vlan-list 505 vlan internal allocation policy ascending lldp run ! ! ! ip access-list extended allow permit ip any any может какой-то debug можно включить? уже не знаю в какую сторону копать.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	13. "фильтрация мак адресов во влане"	+/–
	Сообщение от alexpn (ok) on 10-Мрт-16, 04:44
	может так ? access-list ?   <1-99>            IP standard access list   <100-199>         IP extended access list   <1100-1199>       Extended 48-bit MAC address access list   <1300-1999>       IP standard access list (expanded range)   <200-299>         Protocol type-code access list   <2000-2699>       IP extended access list (expanded range)   <700-799>         48-bit MAC address access list   dynamic-extended  Extend the dynamic ACL absolute timer   rate-limit        Simple rate-limit specific access list правила от <1100-1199>       Extended 48-bit MAC address access list access-list 1100 permit ?   H.H.H  48-bit hardware source address show version Cisco IOS Software, C3750 Software (C3750-IPSERVICESK9-M), Version 12.2(55)SE9, RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2014 by Cisco Systems, Inc. Compiled Mon 03-Mar-14 22:45 by prod_rel_team Image text-base: 0x01000000, data-base: 0x02F00000
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "фильтрация мак адресов во влане"	+/–
Сообщение от Vladimir (??) on 04-Апр-16, 00:52
А пробовали что-то типа такого варианта: mac access-list extended secure deny host 0800.27a5.05c5 any deny any host 0800.27a5.05c5 deny host 3c97.0e26.f302 any deny any host 3c97.0e26.f302 ... permit any any ! ! vlan access-map block_hosts 10 action drop match mac address secure vlan access-map block_hosts 20 action forward подзабыл теорию, но можно предположить, что попавшее под deny не будет обрабатываться 10-м правилом и попадет под 20-е.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема