Zaczalem na 3560 standartowo (celem testow i usystematyzowania wiedzy). Cel: vlan-filtering filtrujacy ICMP na vlanie z drop any na koncu - jest to trudniejsze podejscie bo trzeba pozwolic poszczegolnym protokolom.
Niby ogolnie prosta sprawa, a jednak..
No wiec zaczalem tak (vlan miedzy dwoma routerami):
Kod: Zaznacz cały
mac access-list extended ARP
permit any any 0x806 0x0 ! IP ARP
permit any any lsap 0x4242 0x101 ! STP
permit any any lsap 0xFEFE 0x101 ! CLNS
permit any any 0x86DD 0x0 ! IPv6 (RFC 2464)
!
vlan access-map IP 10
action forward
match mac address ARP
vlan access-map IP 20
action forward
match ip address IP
vlan access-map IP 30
action drop
vlan filter IP vlan-list 46
!
ip acce ex IP
deny icmp any any
per ip any any
Usunalem
permit any any lsap 0xFEFE 0x101
pstryk. CLNS stracil neigbora.
usunalem
permit any any 0x806 0x0
nie rozwiazuja sie ARPy. So far so good.
No to IPv6 - tutaj lezy moj problem.
Po usunieciu IPv6 ( permit any any 0x86DD 0x0) z drugiej warstwy - dalej dziala.
No to pewnie IP go puszcza. Wiec seq 20 action drop. Pinguje sie. Rozwiazuje adresy (ICMPv6 ND dziala jak gdyby nigdy nic).
Skonczylem z taka konfiguracja - nic nie powinno przechodzic:
Kod: Zaznacz cały
mac access-list extended ARP
deny any any
!
vlan access-map IP 10
action forward
match mac address ARP
vlan access-map IP 20
action drop
match ip address IP
vlan access-map IP 30
action drop
vlan filter IP vlan-list 46
!
ip acce ex IP
per ip any any
Wnioski: Nie wiem czy to nie zalezy od tego ze 3560 obsluguje juz IPv6 (dopiero po "sdm prefer ipv6-dual-costam"). Ja pracowalem na sdm standard desktop co powinno(?) spowodowac traktowanie IPv6 jako zwyklego ruchu non-IP.
Czy moze jakas pierdola ktorej nie zauwazam ?
A przede wszystkim: Moze ktos przetestowac powyzsze na 3550 ?
Idea moich testow: zdjecie "permit any any 0x86DD 0x0" powinno zaczac dropowac IPv6
Aha - na 3550 AFAIK po kazdej zmianie policy nalezy sciagnac i ponownie zaaplikowac "vlan filter" (oczywiscie probowalem tak rowniez u siebie).
Dzieki.
PJ