The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Подскажите по MAC ACL в 2960 каталисте, то работает то нет.."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Cisco Catalyst коммутаторы)
Изначальное сообщение [ Отслеживать ]

"Подскажите по MAC ACL в 2960 каталисте, то работает то нет.."  +/
Сообщение от qwertyu (ok) on 14-Дек-10, 16:41 
имеем  WS-C2960-48TT-L
Cisco1>sho ver
Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 12.2(44)SE6, REL
EASE SOFTWARE (fc1)
последняя на сегодняшний день 12.2(55)SE1, поменять смогу вечером но думаю что не поможет
На порту 0/1 висит йотовский роутер, на порту 0/2 основной роутер на провайдера
в сети есть основные клиенты (К1) 192.168.1.0/24 которые должны ходить ТОЛЬКО через основной роутер
и несколько клиентов (К2)10.1.1.0/24 которые должны ходить ТОЛЬКО через йоту
причем никогда и ни при каких обстоятельствах эти правила нарушаться не должны. Исходим из того что настройки IP клиент поменять может а МАС не может. ПО хорошему вопрос решается ВЛАНом, но в сети есть еще несколько неуправляемых коммутаторов которые тэгированный трафик порежут.
пытаюсь решить вопрос следующим образом:
mac access-list extended mac-littel # не дает йотовцам ходеть через осн. шлюз
deny   any host 001f.c64a.53e8
deny   any host 001b.fc3e.1c27
deny   any host 0040.cadc.3d8c
deny   any host 0016.7616.d1b8
permit any any
mac access-list extended mac-yota # не дает основным клиентам лезть на йоту
permit host yota.yota.yota host 001f.c64a.53e8
permit host yota.yota.yota host 001b.fc3e.1c27
permit host yota.yota.yota host 0040.cadc.3d8c
permit host yota.yota.yota host 0016.7616.d1b8
deny   host yota.yota.yota any
и
interface FastEthernet0/1
mac access-group mac-yota in
!
interface FastEthernet0/2
mac access-group mac-littel in
где yota.yota.yota это МАС йотовского роутера, а остальные маки соответственно тех кто обязан ходить только через него.
Запускаю постоянный пинг, какоето время все работает (минуты) потом вдруг перестает и какоето время не работает, потом опять работает, в чем дело совершенно непонятно. Пока разбирался нашел что МАС АКЛи не должны влиять на IP трафик, однако же влияют но както не стабильно. Синхронно с поведением пинга ведет себя и нормальный TCP трафик
Где рыть?
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Подскажите по MAC ACL в 2960 каталисте, то работает то нет.."  +/
Сообщение от VolanD (ok) on 14-Дек-10, 18:37 
> ПО хорошему вопрос решается ВЛАНом, но в сети есть
> еще несколько неуправляемых коммутаторов которые тэгированный трафик порежут.

Возможно я ошибаюсь, но мне всегда казалось, что VLAN ID находится в области данных. И обычный свитч должен пропускать тегированный фрейм, думая, что через просто проходит фрейм с данными. Или я не прав? Т.е. я к том говорю, что может быть получится все сделать на вланах?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Подскажите по MAC ACL в 2960 каталисте, то работает то нет.."  +/
Сообщение от qwertyu (ok) on 15-Дек-10, 10:32 
> Возможно я ошибаюсь, но мне всегда казалось, что VLAN ID находится в
> области данных. И обычный свитч должен пропускать тегированный фрейм, думая, что
> через просто проходит фрейм с данными. Или я не прав? Т.е.
> я к том говорю, что может быть получится все сделать на
> вланах?

Не получается, пробовал уже. возможно дело в конкретном свиче доступа на котором висит клиент. При схеме клиент - 802.1Q_3СОМ - НЕ_802.1Q_3СОМ - 2960 не работает(( Мне попадалась информация о том что 802.1Q устройство видя что на другом конце стоит НЕ_802.1Q убирает из фрейма тэги, если не ошибаюсь эта информация касалась зухеля, возможно и 3сом так себя ведет. Надо попробовать снифером посмотреть что там происходит и на какой точке маршрута, но то что не заработало - факт.


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Подскажите по MAC ACL в 2960 каталисте, то работает то нет.."  +/
Сообщение от ddenia email(??) on 04-Июл-13, 12:26 
>[оверквотинг удален]
>> через просто проходит фрейм с данными. Или я не прав? Т.е.
>> я к том говорю, что может быть получится все сделать на
>> вланах?
> Не получается, пробовал уже. возможно дело в конкретном свиче доступа на котором
> висит клиент. При схеме клиент - 802.1Q_3СОМ - НЕ_802.1Q_3СОМ - 2960
> не работает(( Мне попадалась информация о том что 802.1Q устройство видя
> что на другом конце стоит НЕ_802.1Q убирает из фрейма тэги, если
> не ошибаюсь эта информация касалась зухеля, возможно и 3сом так себя
> ведет. Надо попробовать снифером посмотреть что там происходит и на какой
> точке маршрута, но то что не заработало - факт.

MAC ACL, также известный как Ethernet ACL предназначен для фильтрации non-IP трафика на VLAN или физических интерфейсах Layer 2 используя MAC адреса в именованном расширенном MAC extended ACL.
Шаги по конфигурации MAC ACL подобны обычным именованным расширенным ACL. MAC ACL могут применяться только для фильтрации входящего трафика. Для определения MAC Extended ACL используется команда mac access-list extended. После того, как MAC ACL будет создан, его необходимо наложить на интерфейс Layer 2 используя команду mac access-group [acl-name] in.
В примере ниже  показано, как создать и применить MAC ACL для блокировки определенного MAC адреса, пропуская остальной трафик.

Switch#
Switch(config)#mac access-list extended ban_mac
Switch(config-ext-macl)#deny host 0015.1729.890a any
Switch(config-ext-macl)#permit any any
Switch(config-ext-macl)# exit
Switch(config-if)#interface gigabit 0/15
Switch(config-if)#mac access-group ban_mac in
Switch(config-if)#end
Switch#
http://it-admin.org/cisco-systems/mac-acl-na-cisco-catalyst....

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру