forum.opennet.ru

Составление сообщения

Исходное сообщение

"фильтрация мак адресов во влане"
Отправлено Chuck Robbins, 04-Мрт-16 15:26

>[оверквотинг удален]
>>>>>> !
>>>>>> vlan filter block_hosts vlan-list 505
>>>>>  тоже не сработало:(
>>>> а как проверяете работоспособность VACL?
>>> пингаю хосты, которые добавлены в "match mac address secure". они не пингаются
>>> и во всем влане отваливается сетка.
>> из гайда циски:
>> IP traffic is not access controlled by MAC VLAN maps
> но "You can configure VLAN maps to match Layer 3 addresses for
> IPv4 traffic."
mac access-list extended not-secure
permit any any
mac access-list extended secure
permit host 0800.27a5.05c5 any
permit any host 0800.27a5.05c5
permit host 3c97.0e26.f302 any
permit any host 3c97.0e26.f302
permit host b40c.258e.e401 any
permit any host b40c.258e.e401
permit host 001a.6d55.fc42 any
permit any host 001a.6d55.fc42
ip access-list extended allow
permit ip any any
!
!
!
vlan access-map block_hosts 10
action forward
match mac address secure
match ip address allow
vlan access-map block_hosts 20
action drop
match mac address not-secure
!
vlan filter block_hosts vlan-list 505

так тоже не работает, любой ip кроме локального во влане перестает пингаться с циски :(

причем судя по всему какой-то трафик всё же матчится:
#show access-lists
Extended IP access list allow
    10 permit ip any any (323 matches)
Extended MAC access list not-secure
    permit any any
Extended MAC access list secure
    permit host 0800.27a5.05c5 any
    permit any host 0800.27a5.05c5
    permit host 3c97.0e26.f302 any
    permit any host 3c97.0e26.f302
    permit host b40c.258e.e401 any
    permit any host b40c.258e.e401
    permit host 001a.6d55.fc42 any
    permit any host 001a.6d55.fc42
#show arp  | i 155
Internet  192.168.155.34          0   Incomplete      ARPA
Internet  192.168.155.10          -   001a.6d55.fc42  ARPA   Vlan505

192.168.155.10   это локальный адрес циски
без фильтрации всё ок:
#sh arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  192.168.155.34          5   3005.5c7c.47f4  ARPA   Vlan505
Internet  192.168.155.1           2   b40c.258e.e401  ARPA   Vlan505
Internet  192.168.155.10          -   001a.6d55.fc42  ARPA   Vlan505

Исходное сообщение
"фильтрация мак адресов во влане" Отправлено Chuck Robbins, 04-Мрт-16 15:26
>[оверквотинг удален] >>>>>> ! >>>>>> vlan filter block_hosts vlan-list 505 >>>>> тоже не сработало:( >>>> а как проверяете работоспособность VACL? >>> пингаю хосты, которые добавлены в "match mac address secure". они не пингаются >>> и во всем влане отваливается сетка. >> из гайда циски: >> IP traffic is not access controlled by MAC VLAN maps > но "You can configure VLAN maps to match Layer 3 addresses for > IPv4 traffic." mac access-list extended not-secure permit any any mac access-list extended secure permit host 0800.27a5.05c5 any permit any host 0800.27a5.05c5 permit host 3c97.0e26.f302 any permit any host 3c97.0e26.f302 permit host b40c.258e.e401 any permit any host b40c.258e.e401 permit host 001a.6d55.fc42 any permit any host 001a.6d55.fc42 ip access-list extended allow permit ip any any ! ! ! vlan access-map block_hosts 10 action forward match mac address secure match ip address allow vlan access-map block_hosts 20 action drop match mac address not-secure ! vlan filter block_hosts vlan-list 505 так тоже не работает, любой ip кроме локального во влане перестает пингаться с циски :( причем судя по всему какой-то трафик всё же матчится: #show access-lists Extended IP access list allow 10 permit ip any any (323 matches) Extended MAC access list not-secure permit any any Extended MAC access list secure permit host 0800.27a5.05c5 any permit any host 0800.27a5.05c5 permit host 3c97.0e26.f302 any permit any host 3c97.0e26.f302 permit host b40c.258e.e401 any permit any host b40c.258e.e401 permit host 001a.6d55.fc42 any permit any host 001a.6d55.fc42 #show arp \| i 155 Internet 192.168.155.34 0 Incomplete ARPA Internet 192.168.155.10 - 001a.6d55.fc42 ARPA Vlan505 192.168.155.10 это локальный адрес циски без фильтрации всё ок: #sh arp Protocol Address Age (min) Hardware Addr Type Interface Internet 192.168.155.34 5 3005.5c7c.47f4 ARPA Vlan505 Internet 192.168.155.1 2 b40c.258e.e401 ARPA Vlan505 Internet 192.168.155.10 - 001a.6d55.fc42 ARPA Vlan505

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>[оверквотинг удален] 
>>>>>>> !
>>>>>>> vlan filter block_hosts vlan-list 505 
>>>>>>  тоже не сработало:( 
>>>>> а как проверяете работоспособность VACL?
>>>> пингаю хосты, которые добавлены в "match mac address secure". они не пингаются 
>>>> и во всем влане отваливается сетка.
>>> из гайда циски: 
>>> IP traffic is not access controlled by MAC VLAN maps 
>> но "You can configure VLAN maps to match Layer 3 addresses for 
>> IPv4 traffic."

> mac access-list extended not-secure 
>  permit any any 
> mac access-list extended secure 
>  permit host 0800.27a5.05c5 any 
>  permit any host 0800.27a5.05c5 
>  permit host 3c97.0e26.f302 any 
>  permit any host 3c97.0e26.f302 
>  permit host b40c.258e.e401 any 
>  permit any host b40c.258e.e401 
>  permit host 001a.6d55.fc42 any 
>  permit any host 001a.6d55.fc42

> ip access-list extended allow 
>  permit ip any any 
> !
> !

> !
> vlan access-map block_hosts 10 
>  action forward 
>  match mac address secure 
>  match ip address allow 
> vlan access-map block_hosts 20 
>  action drop 
>  match mac address not-secure 
> !

> vlan filter block_hosts vlan-list 505

> так тоже не работает, любой ip кроме локального во влане перестает пингаться 
> с циски :(

> причем судя по всему какой-то трафик всё же матчится:

> #show access-lists 
> Extended IP access list allow 
>     10 permit ip any any (323 matches) 
> Extended MAC access list not-secure 
>     permit any any 
> Extended MAC access list secure 
>     permit host 0800.27a5.05c5 any 
>     permit any host 0800.27a5.05c5 
>     permit host 3c97.0e26.f302 any 
>     permit any host 3c97.0e26.f302 
>     permit host b40c.258e.e401 any 
>     permit any host b40c.258e.e401 
>     permit host 001a.6d55.fc42 any 
>     permit any host 001a.6d55.fc42

> #show arp  | i 155 
> Internet  192.168.155.34          
> 0   Incomplete      ARPA 
> Internet  192.168.155.10          
> -   001a.6d55.fc42  ARPA   Vlan505

> 192.168.155.10   это локальный адрес циски

> без фильтрации всё ок:

> #sh arp 
> Protocol  Address          
> Age (min)  Hardware Addr   Type   Interface 
 
> Internet  192.168.155.34          
> 5   3005.5c7c.47f4  ARPA   Vlan505 
> Internet  192.168.155.1          
>  2   b40c.258e.e401  ARPA   Vlan505 
> Internet  192.168.155.10          
> -   001a.6d55.fc42  ARPA   Vlan505

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру