CCIE.pl

site 4 CCIE wannabies
Dzisiaj jest 14 gru 2017, 21:51

Strefa czasowa UTC+01:00




Nowy temat  Odpowiedz w temacie  [ Posty: 4 ] 
Autor Wiadomość
 Tytuł: VACL na C6500
Post #1 : 17 lut 2017, 11:03 
Offline
wannabe
wannabe

Rejestracja: 13 paź 2006, 22:02
Posty: 97
Lokalizacja: Warszawa
Wymarzyłem sobie konfigurację filtracji na poziomie L2.
Setup to C6500 12.2(33)SXJ4, lokalny vlan i 2 endpointy. Gateway na urzadzeniu z boku.
Konfig jaki wrzuciłem:
Kod:
mac access-list extended macl-host-separation
 permit any host 0000.0c07.ac01 
 permit host 0064.403a.abcd any 
 permit host 001d.e53c.abcd any 
 permit any any 806 0
 permit any any 888E 0
 
vlan access-map vlan-sepraration 10
 match mac address macl-host-separation
 action forward
 
vlan filter vlan-sepraration vlan-list  371
Pierwsze 3 wpisy to komiunikacja do/z bramy domyslnej dla VLANu. Kolejne wpisy to ARP i EAPOL.
PING z hosta A do hosta B działa. Dlaczego?
Host A wysyła ARP o adres MAC hosta B. ARP przepuszczamy wpisem:
Kod:
 permit any any 806 0

Komunikacja miedzy A i B wychodzi na adresach macA i macB. Na ACL takiego ruchu nie przepuszczam.

Dodałem jeszcze taki kawałek konfigu:
Kod:
mac access-list extended macl-deny-all-ip
 permit any any ip
 
vlan access-map vlan-sepraration 20
 match mac address macl-deny-all-ip
 action drop
 
Konfiguracja portu najprostsza z możliwych:
Kod:
 
 switchport
 switchport access vlan 371
 switchport mode access
 spanning-tree portfast edge
 


Na górę
Post #2 : 21 lut 2017, 20:58 
Offline
member
member

Rejestracja: 25 lip 2010, 13:34
Posty: 48
Nie do konca rozumiem opis ale moze to pomoze.

MAC ACL filtruje ruch non-IP, czyli na przyklad ARP. Ruch IP (ICMP, TCP) nie zostanie "zlapany" przez MAC ACL.


Na górę
Post #3 : 28 lut 2017, 09:32 
Offline
wannabe
wannabe

Rejestracja: 13 paź 2006, 22:02
Posty: 97
Lokalizacja: Warszawa
Tak, doszedłem do tego samego wniosku po kilku lekturach.
Mac acl ma implicit " permit any any ip" na samym końcu. Szkoda że CLI nie podopowiada że taka konfiguracja nie zadziała.


Na górę
Post #4 : 28 lut 2017, 22:11 
Offline
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin

Rejestracja: 15 lip 2004, 20:35
Posty: 6259
Lokalizacja: Warsaw, PL
Że się tak zapytam podstępnie, a skąd ACLka ma wiedzieć do czego jej chcesz użyć?
Składniowo jest poprawnie, więc nie ma powodów do "krzyczenia"...

_________________
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie  [ Posty: 4 ] 

Strefa czasowa UTC+01:00


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Technologię dostarcza phpBB® Forum Software © phpBB Limited
Polski pakiet językowy dostarcza phpBB.pl