VACL na C6500
: 17 lut 2017, 11:03
Wymarzyłem sobie konfigurację filtracji na poziomie L2.
Setup to C6500 12.2(33)SXJ4, lokalny vlan i 2 endpointy. Gateway na urzadzeniu z boku.
Konfig jaki wrzuciłem:
Pierwsze 3 wpisy to komiunikacja do/z bramy domyslnej dla VLANu. Kolejne wpisy to ARP i EAPOL.
PING z hosta A do hosta B działa. Dlaczego?
Host A wysyła ARP o adres MAC hosta B. ARP przepuszczamy wpisem:
Komunikacja miedzy A i B wychodzi na adresach macA i macB. Na ACL takiego ruchu nie przepuszczam.
Dodałem jeszcze taki kawałek konfigu:
Konfiguracja portu najprostsza z możliwych:
Setup to C6500 12.2(33)SXJ4, lokalny vlan i 2 endpointy. Gateway na urzadzeniu z boku.
Konfig jaki wrzuciłem:
Kod: Zaznacz cały
mac access-list extended macl-host-separation
permit any host 0000.0c07.ac01
permit host 0064.403a.abcd any
permit host 001d.e53c.abcd any
permit any any 806 0
permit any any 888E 0
vlan access-map vlan-sepraration 10
match mac address macl-host-separation
action forward
vlan filter vlan-sepraration vlan-list 371
PING z hosta A do hosta B działa. Dlaczego?
Host A wysyła ARP o adres MAC hosta B. ARP przepuszczamy wpisem:
Kod: Zaznacz cały
permit any any 806 0Komunikacja miedzy A i B wychodzi na adresach macA i macB. Na ACL takiego ruchu nie przepuszczam.
Dodałem jeszcze taki kawałek konfigu:
Kod: Zaznacz cały
mac access-list extended macl-deny-all-ip
permit any any ip
vlan access-map vlan-sepraration 20
match mac address macl-deny-all-ip
action drop
Kod: Zaznacz cały
switchport
switchport access vlan 371
switchport mode access
spanning-tree portfast edge