VACL na C6500

Problemy związane ze switchingiem

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba

Wiadomość
Autor
razor
wannabe
wannabe
Posty: 105
Rejestracja: 13 paź 2006, 22:02
Lokalizacja: Warszawa

VACL na C6500

#1

#1 Post autor: razor » 17 lut 2017, 11:03

Wymarzyłem sobie konfigurację filtracji na poziomie L2.
Setup to C6500 12.2(33)SXJ4, lokalny vlan i 2 endpointy. Gateway na urzadzeniu z boku.
Konfig jaki wrzuciłem:

Kod: Zaznacz cały

mac access-list extended macl-host-separation
 permit any host 0000.0c07.ac01 
 permit host 0064.403a.abcd any 
 permit host 001d.e53c.abcd any 
 permit any any 806 0
 permit any any 888E 0
 
vlan access-map vlan-sepraration 10
 match mac address macl-host-separation
 action forward
 
vlan filter vlan-sepraration vlan-list  371
Pierwsze 3 wpisy to komiunikacja do/z bramy domyslnej dla VLANu. Kolejne wpisy to ARP i EAPOL.
PING z hosta A do hosta B działa. Dlaczego?
Host A wysyła ARP o adres MAC hosta B. ARP przepuszczamy wpisem:

Kod: Zaznacz cały

 permit any any 806 0

Komunikacja miedzy A i B wychodzi na adresach macA i macB. Na ACL takiego ruchu nie przepuszczam.

Dodałem jeszcze taki kawałek konfigu:

Kod: Zaznacz cały

mac access-list extended macl-deny-all-ip
 permit any any ip
 
vlan access-map vlan-sepraration 20
 match mac address macl-deny-all-ip
 action drop
 
Konfiguracja portu najprostsza z możliwych:

Kod: Zaznacz cały

 
 switchport
 switchport access vlan 371
 switchport mode access
 spanning-tree portfast edge
 

xhinge
member
member
Posty: 48
Rejestracja: 25 lip 2010, 13:34

Re: VACL na C6500

#2

#2 Post autor: xhinge » 21 lut 2017, 20:58

Nie do konca rozumiem opis ale moze to pomoze.

MAC ACL filtruje ruch non-IP, czyli na przyklad ARP. Ruch IP (ICMP, TCP) nie zostanie "zlapany" przez MAC ACL.

razor
wannabe
wannabe
Posty: 105
Rejestracja: 13 paź 2006, 22:02
Lokalizacja: Warszawa

Re: VACL na C6500

#3

#3 Post autor: razor » 28 lut 2017, 09:32

Tak, doszedłem do tego samego wniosku po kilku lekturach.
Mac acl ma implicit " permit any any ip" na samym końcu. Szkoda że CLI nie podopowiada że taka konfiguracja nie zadziała.

Seba
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin
Posty: 6223
Rejestracja: 15 lip 2004, 20:35
Lokalizacja: Warsaw, PL

Re: VACL na C6500

#4

#4 Post autor: Seba » 28 lut 2017, 22:11

Że się tak zapytam podstępnie, a skąd ACLka ma wiedzieć do czego jej chcesz użyć?
Składniowo jest poprawnie, więc nie ma powodów do "krzyczenia"...
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein

ODPOWIEDZ