The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"фильтрация мак адресов во влане"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"фильтрация мак адресов во влане"  +/
Сообщение от Chuck Robbins on 01-Мрт-16, 01:53 
помогите, третий день уже бьюсь.

возникла необходимость фильтровать все мак-адреса во VLAN'e, кроме определенных.
есть замечательная статья, описывающая то же самое, но ровно наоброт - блокировка определенных мак адресов, при разрешенных всех остальных :
http://www.cisco.com/c/en/us/support/docs/switches/catalyst-...

ну значит надо сделать по аналогии (подумал я).
но на самом деле ничего не взлетает.

вот конфиг:

mac access-list extended secure
permit host 0800.27a5.05c5 any
permit any host 0800.27a5.05c5
permit host 3c97.0e26.f302 any
permit any host 3c97.0e26.f302
permit host b40c.258e.e401 any
permit any host b40c.258e.e401
permit host 001a.6d55.fc42 any
permit any host 001a.6d55.fc42
deny any any
!
!
vlan access-map block_hosts 10
action forward
match mac address secure
!

vlan filter block_hosts vlan-list 505


пробовал различные вариации из куска выше но результат всегда один и тот же. что бы я не делал всё приводит к тому, что во влане блокируется вообще весь трафик, пробовал даже с ethertype играться - одна фигня.

добавлял еще 20м правило это:

vlan access-map block_hosts 20
action drop

и убирал access-list'а deny any any - нихрена. блокируется весь трафик во влане вообще.
но при этом если делать как нарисовано в доке - блокировать определенные маки, разрешать все остальные - прекрасно работает. а вот в обратную сторону - нет

я там уже даже добавил в permit вообще все мак-адреса, которые на свитче крутятся. в том числе и те, что на CPU :)) всё равно не работает


Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "фильтрация мак адресов во влане"  +/
Сообщение от Chuck Robbins on 01-Мрт-16, 01:54 
>[оверквотинг удален]
> vlan access-map block_hosts 20
>  action drop
> и убирал access-list'а deny any any - нихрена. блокируется весь трафик во
> влане вообще.
> но при этом если делать как нарисовано в доке - блокировать определенные
> маки, разрешать все остальные - прекрасно работает. а вот в обратную
> сторону - нет
> я там уже даже добавил в permit вообще все мак-адреса, которые на
> свитче крутятся. в том числе и те, что на CPU :))
> всё равно не работает

да, забыл, модель:
Cisco IOS Software, C3750 Software (C3750-IPSERVICESK9-M), Version 12.2(55)SE10, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2015 by Cisco Systems, Inc.
Compiled Wed 11-Feb-15 11:40 by prod_rel_team
Image text-base: 0x01000000, data-base: 0x02F00000

ROM: Bootstrap program is C3750 boot loader
BOOTLDR: C3750 Boot Loader (C3750-HBOOT-M) Version 12.2(44)SE5, RELEASE SOFTWARE (fc1)

P.S. port-security не предлагать, я умру по всем портам в сетке мак-адреса прописывать и майнтейнить потом всё это)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "фильтрация мак адресов во влане"  +/
Сообщение от universite (ok) on 01-Мрт-16, 04:03 

> P.S. port-security не предлагать, я умру по всем портам в сетке мак-адреса
> прописывать и майнтейнить потом всё это)

Гляньте NOC.Project. Похоже, у вас проблемы с управляемостью сети.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "фильтрация мак адресов во влане"  +/
Сообщение от Chuck Robbins on 01-Мрт-16, 16:49 
>> P.S. port-security не предлагать, я умру по всем портам в сетке мак-адреса
>> прописывать и майнтейнить потом всё это)
> Гляньте NOC.Project. Похоже, у вас проблемы с управляемостью сети.

это самый простой способ решения проблемы? ))))

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "фильтрация мак адресов во влане"  +/
Сообщение от eek (ok) on 02-Мрт-16, 13:32 
Если так:

mac access-list extended secure
permit host 0800.27a5.05c5 any
permit any host 0800.27a5.05c5
permit host 3c97.0e26.f302 any
permit any host 3c97.0e26.f302
permit host b40c.258e.e401 any
permit any host b40c.258e.e401
permit host 001a.6d55.fc42 any
permit any host 001a.6d55.fc42
!-- убрали deny тут---
!
mac access-list extended not-secure
permit any any
!--сделали лист для deny через permit--

!
vlan access-map block_hosts 10
action forward
match mac address secure
!
!--добавили в vacl, deny через permit--
vlan access-map block_hosts 20
action drop
match mac address not-secure
!
vlan filter block_hosts vlan-list 505

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "фильтрация мак адресов во влане"  +/
Сообщение от Chuck Robbins on 03-Мрт-16, 00:59 
>[оверквотинг удален]
> vlan access-map block_hosts 10
> action forward
> match mac address secure
> !
> !--добавили в vacl, deny через permit--
> vlan access-map block_hosts 20
> action drop
> match mac address not-secure
> !
> vlan filter block_hosts vlan-list 505

тоже не сработало:(

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "фильтрация мак адресов во влане"  +/
Сообщение от Денис (??) on 04-Мрт-16, 14:28 
>[оверквотинг удален]
>> action forward
>> match mac address secure
>> !
>> !--добавили в vacl, deny через permit--
>> vlan access-map block_hosts 20
>> action drop
>> match mac address not-secure
>> !
>> vlan filter block_hosts vlan-list 505
>  тоже не сработало:(

а как проверяете работоспособность VACL?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "фильтрация мак адресов во влане"  +/
Сообщение от Chuck Robbins on 04-Мрт-16, 14:40 
>[оверквотинг удален]
>>> match mac address secure
>>> !
>>> !--добавили в vacl, deny через permit--
>>> vlan access-map block_hosts 20
>>> action drop
>>> match mac address not-secure
>>> !
>>> vlan filter block_hosts vlan-list 505
>>  тоже не сработало:(
> а как проверяете работоспособность VACL?

пингаю хосты, которые добавлены в "match mac address secure". они не пингаются и во всем влане отваливается сетка.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "фильтрация мак адресов во влане"  +/
Сообщение от Денис (??) on 04-Мрт-16, 14:45 
>[оверквотинг удален]
>>>> !--добавили в vacl, deny через permit--
>>>> vlan access-map block_hosts 20
>>>> action drop
>>>> match mac address not-secure
>>>> !
>>>> vlan filter block_hosts vlan-list 505
>>>  тоже не сработало:(
>> а как проверяете работоспособность VACL?
> пингаю хосты, которые добавлены в "match mac address secure". они не пингаются
> и во всем влане отваливается сетка.

из гайда циски:
IP traffic is not access controlled by MAC VLAN maps

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "фильтрация мак адресов во влане"  +/
Сообщение от Денис (??) on 04-Мрт-16, 14:47 
>[оверквотинг удален]
>>>>> action drop
>>>>> match mac address not-secure
>>>>> !
>>>>> vlan filter block_hosts vlan-list 505
>>>>  тоже не сработало:(
>>> а как проверяете работоспособность VACL?
>> пингаю хосты, которые добавлены в "match mac address secure". они не пингаются
>> и во всем влане отваливается сетка.
> из гайда циски:
> IP traffic is not access controlled by MAC VLAN maps

но "You can configure VLAN maps to match Layer 3 addresses for IPv4 traffic."

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "фильтрация мак адресов во влане"  +/
Сообщение от Chuck Robbins on 04-Мрт-16, 15:26 
>[оверквотинг удален]
>>>>>> !
>>>>>> vlan filter block_hosts vlan-list 505
>>>>>  тоже не сработало:(
>>>> а как проверяете работоспособность VACL?
>>> пингаю хосты, которые добавлены в "match mac address secure". они не пингаются
>>> и во всем влане отваливается сетка.
>> из гайда циски:
>> IP traffic is not access controlled by MAC VLAN maps
> но "You can configure VLAN maps to match Layer 3 addresses for
> IPv4 traffic."

mac access-list extended not-secure
permit any any
mac access-list extended secure
permit host 0800.27a5.05c5 any
permit any host 0800.27a5.05c5
permit host 3c97.0e26.f302 any
permit any host 3c97.0e26.f302
permit host b40c.258e.e401 any
permit any host b40c.258e.e401
permit host 001a.6d55.fc42 any
permit any host 001a.6d55.fc42

ip access-list extended allow
permit ip any any
!
!

!
vlan access-map block_hosts 10
action forward
match mac address secure
match ip address allow
vlan access-map block_hosts 20
action drop
match mac address not-secure
!

vlan filter block_hosts vlan-list 505


так тоже не работает, любой ip кроме локального во влане перестает пингаться с циски :(


причем судя по всему какой-то трафик всё же матчится:

#show access-lists
Extended IP access list allow
    10 permit ip any any (323 matches)
Extended MAC access list not-secure
    permit any any
Extended MAC access list secure
    permit host 0800.27a5.05c5 any
    permit any host 0800.27a5.05c5
    permit host 3c97.0e26.f302 any
    permit any host 3c97.0e26.f302
    permit host b40c.258e.e401 any
    permit any host b40c.258e.e401
    permit host 001a.6d55.fc42 any
    permit any host 001a.6d55.fc42

#show arp  | i 155
Internet  192.168.155.34          0   Incomplete      ARPA
Internet  192.168.155.10          -   001a.6d55.fc42  ARPA   Vlan505


192.168.155.10   это локальный адрес циски

без фильтрации всё ок:

#sh arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  192.168.155.34          5   3005.5c7c.47f4  ARPA   Vlan505
Internet  192.168.155.1           2   b40c.258e.e401  ARPA   Vlan505
Internet  192.168.155.10          -   001a.6d55.fc42  ARPA   Vlan505

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "фильтрация мак адресов во влане"  +/
Сообщение от eek (ok) on 04-Мрт-16, 19:06 
Наоборот попробуйте:

!
vlan access-map block_hosts 10
action drop
match mac address not-secure
!
vlan access-map block_hosts 20
action forward
match mac address secure
!

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "фильтрация мак адресов во влане"  +/
Сообщение от Chuck Robbins on 07-Мрт-16, 18:50 
> Наоборот попробуйте:
> !
> vlan access-map block_hosts 10
> action drop
> match mac address not-secure
> !
> vlan access-map block_hosts 20
> action forward
> match mac address secure
> !

всё равно не работает.

попробовал еще в ваш вариант match address добавить - тоже не работает. отваливаются все хосты во влане, включая те, что в permit.

какие-то пакеты все равно матчятся:
#sh access-lists
Extended IP access list allow
    10 permit ip any any (409 matches)
Extended MAC access list not-secure
    permit any any
Extended MAC access list secure
    permit host 0800.27a5.05c5 any
    permit any host 0800.27a5.05c5
    permit host 3c97.0e26.f302 any
    permit any host 3c97.0e26.f302
    permit host b40c.258e.e401 any
    permit any host b40c.258e.e401
    permit host 001a.6d55.fc42 any
    permit any host 001a.6d55.fc42


сейчас вариант конфига такой:

mac access-list extended not-secure
permit any any
mac access-list extended secure
permit host 0800.27a5.05c5 any
permit any host 0800.27a5.05c5
permit host 3c97.0e26.f302 any
permit any host 3c97.0e26.f302
permit host b40c.258e.e401 any
permit any host b40c.258e.e401
permit host 001a.6d55.fc42 any
permit any host 001a.6d55.fc42

!
vlan access-map block_hosts 10
action drop
match mac address not-secure
vlan access-map block_hosts 20
action forward
match mac address secure
match ip address allow
!
vlan filter block_hosts vlan-list 505
vlan internal allocation policy ascending
lldp run
!
!
!
ip access-list extended allow
permit ip any any

может какой-то debug можно включить? уже не знаю в какую сторону копать.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "фильтрация мак адресов во влане"  +/
Сообщение от alexpn (ok) on 10-Мрт-16, 04:44 
может так ?

access-list ?
  <1-99>            IP standard access list
  <100-199>         IP extended access list
  <1100-1199>       Extended 48-bit MAC address access list
  <1300-1999>       IP standard access list (expanded range)
  <200-299>         Protocol type-code access list
  <2000-2699>       IP extended access list (expanded range)
  <700-799>         48-bit MAC address access list
  dynamic-extended  Extend the dynamic ACL absolute timer
  rate-limit        Simple rate-limit specific access list
правила от
<1100-1199>       Extended 48-bit MAC address access list

access-list 1100 permit ?
  H.H.H  48-bit hardware source address

show version
Cisco IOS Software, C3750 Software (C3750-IPSERVICESK9-M), Version 12.2(55)SE9, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2014 by Cisco Systems, Inc.
Compiled Mon 03-Mar-14 22:45 by prod_rel_team
Image text-base: 0x01000000, data-base: 0x02F00000

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "фильтрация мак адресов во влане"  +/
Сообщение от Vladimir (??) on 04-Апр-16, 00:52 
А пробовали что-то типа такого варианта:

mac access-list extended secure
deny host 0800.27a5.05c5 any
deny any host 0800.27a5.05c5
deny host 3c97.0e26.f302 any
deny any host 3c97.0e26.f302
...
permit any any
!
!
vlan access-map block_hosts 10
action drop
match mac address secure

vlan access-map block_hosts 20
action forward


подзабыл теорию, но можно предположить, что попавшее под deny не будет обрабатываться 10-м правилом и попадет под 20-е.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру