CCIE.pl

site 4 CCIE wannabies
It is currently 26 Jun 2017, 22:45

All times are UTC+02:00




Post new topic  Reply to topic  [ 4 posts ] 
Author Message
 Post subject: VACL na C6500
Post #1 Posted: 17 Feb 2017, 11:03 
Offline
wannabe
wannabe

Joined: 13 Oct 2006, 22:02
Posts: 97
Location: Warszawa
Wymarzyłem sobie konfigurację filtracji na poziomie L2.
Setup to C6500 12.2(33)SXJ4, lokalny vlan i 2 endpointy. Gateway na urzadzeniu z boku.
Konfig jaki wrzuciłem:

Code:
mac access-list extended macl-host-separation
 permit any host 0000.0c07.ac01
 permit host 0064.403a.abcd any
 permit host 001d.e53c.abcd any
 permit any any 806 0
 permit any any 888E 0
 
vlan access-map vlan-sepraration 10
 match mac address macl-host-separation
 action forward
 
vlan filter vlan-sepraration vlan-list  371

Pierwsze 3 wpisy to komiunikacja do/z bramy domyslnej dla VLANu. Kolejne wpisy to ARP i EAPOL.
PING z hosta A do hosta B działa. Dlaczego?
Host A wysyła ARP o adres MAC hosta B. ARP przepuszczamy wpisem:
Code:
 permit any any 806 0

Komunikacja miedzy A i B wychodzi na adresach macA i macB. Na ACL takiego ruchu nie przepuszczam.

Dodałem jeszcze taki kawałek konfigu:
Code:
mac access-list extended macl-deny-all-ip
 permit any any ip
 
vlan access-map vlan-sepraration 20
 match mac address macl-deny-all-ip
 action drop
 


Konfiguracja portu najprostsza z możliwych:
Code:
 
 switchport
 switchport access vlan 371
 switchport mode access
 spanning-tree portfast edge
 


Top
   
 Post subject: Re: VACL na C6500
Post #2 Posted: 21 Feb 2017, 20:58 
Offline
member
member

Joined: 25 Jul 2010, 13:34
Posts: 45
Nie do konca rozumiem opis ale moze to pomoze.

MAC ACL filtruje ruch non-IP, czyli na przyklad ARP. Ruch IP (ICMP, TCP) nie zostanie "zlapany" przez MAC ACL.


Top
   
 Post subject: Re: VACL na C6500
Post #3 Posted: 28 Feb 2017, 09:32 
Offline
wannabe
wannabe

Joined: 13 Oct 2006, 22:02
Posts: 97
Location: Warszawa
Tak, doszedłem do tego samego wniosku po kilku lekturach.
Mac acl ma implicit " permit any any ip" na samym końcu. Szkoda że CLI nie podopowiada że taka konfiguracja nie zadziała.


Top
   
 Post subject: Re: VACL na C6500
Post #4 Posted: 28 Feb 2017, 22:11 
Offline
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin

Joined: 15 Jul 2004, 20:35
Posts: 6215
Location: Warsaw, PL
Że się tak zapytam podstępnie, a skąd ACLka ma wiedzieć do czego jej chcesz użyć?
Składniowo jest poprawnie, więc nie ma powodów do "krzyczenia"...

_________________
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein


Top
   
Display posts from previous:  Sort by  
Post new topic  Reply to topic  [ 4 posts ] 

All times are UTC+02:00


Who is online

Users browsing this forum: No registered users and 3 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Powered by phpBB® Forum Software © phpBB Limited