MAC address list i ethertype dla Profinetu Temat rozwiązany

Problemy związane ze switchingiem
Wiadomość
Autor
Awatar użytkownika
Neferith
wannabe
wannabe
Posty: 61
Rejestracja: 24 paź 2005, 11:15
Lokalizacja: Nowy Tomyśl

MAC address list i ethertype dla Profinetu

#1

#1 Post autor: Neferith »

Cześć wszystkim,

Potrzebuję zablokować ruch typu Profinet na porcie w switchu. Profinet ma etherype 0x8892, jak zapisać to w access liście i jak zdefiniować kolejny parametr, czyli maskę?

Kod: Zaznacz cały

SW(config)#mac access-list ext PROFINET-BLOCK
SW(config-ext-macl)#deny any any ?
  <0-65535>        An arbitrary EtherType in decimal, hex, or octal
  aarp             EtherType: AppleTalk ARP
  amber            EtherType: DEC-Amber
  appletalk        EtherType: AppleTalk/EtherTalk
  cos              CoS value
  dec-spanning     EtherType: DEC-Spanning-Tree
  decnet-iv        EtherType: DECnet Phase IV
  diagnostic       EtherType: DEC-Diagnostic
  dsm              EtherType: DEC-DSM
  etype-6000       EtherType: 0x6000
  etype-8042       EtherType: 0x8042
  lat              EtherType: DEC-LAT
  lavc-sca         EtherType: DEC-LAVC-SCA
  lsap             LSAP value
  mop-console      EtherType: DEC-MOP Remote Console
  mop-dump         EtherType: DEC-MOP Dump
  msdos            EtherType: DEC-MSDOS
  mumps            EtherType: DEC-MUMPS
  netbios          EtherType: DEC-NETBIOS
  protocol-family  An Ethernet protocol family
  vines-echo       EtherType: VINES Echo
  vines-ip         EtherType: VINES IP
  vlan             Vlan Id
  xns-idp          EtherType: XNS IDP
  <cr>

SW(config-ext-macl)#deny any any 0x8892 ?
  <0-65535>  EtherType mask in decimal, hex, or octal

SW(config-ext-macl)#deny any any 0x8892
Jak zapisać maskę ? Czy ktoś blokował kiedyś coś podobnego?
Switch to Cat3850

Z góry wielkie dzięki!
/Neferith

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: MAC address list i ethertype dla Profinetu

#2

#2 Post autor: drake »

Hej,
nie uzywalem, ale wydaje mi sie ze cos takiego powinno zadzialac:

Kod: Zaznacz cały

mac access-list ext PROFINET-BLOCK-maclist
permit any any 0x8892 0x0

vlan access-map PROFINET-BLOCK 10
  match mac address PROFINET-BLOCK-maclist
  action drop
vlan access-map PROFINET-BLOCK 20
  action forward

vlan filter PROFINET-BLOCK vlan-list 1,2,3,4,5
to oczywiscie zastosowane dla vlanu 1-5, zmodyfikuj jak potrzebujesz. Latwiej takie rzeczy wyfiltrowac na ASA, ale na SW tak jak powyzej powinno tez zadzialac.

Pozdruffka! ;)
Never stop exploring :)

https://iverion.de

Awatar użytkownika
Neferith
wannabe
wannabe
Posty: 61
Rejestracja: 24 paź 2005, 11:15
Lokalizacja: Nowy Tomyśl

Re: MAC address list i ethertype dla Profinetu

#3

#3 Post autor: Neferith »

Hej,

Wybacz, że tak późno odpisuję, ale dopiero teraz mogłem temat przetestować - wszystko działa jak należy! Profinet jest poprawnie blokowany w obrębie switcha!
Czy da się jakoś zobaczyć, ile jest 'hitów' a ta access-map'ę ? sh access-list nie pokazuje ilości zablokowanych trafień.

Bardzo dziękuję za pomoc!

pozdrawiam,
/Neferith

ODPOWIEDZ