>[оверквотинг удален]
>>>>>> !
>>>>>> vlan filter block_hosts vlan-list 505
>>>>> тоже не сработало:(
>>>> а как проверяете работоспособность VACL?
>>> пингаю хосты, которые добавлены в "match mac address secure". они не пингаются
>>> и во всем влане отваливается сетка.
>> из гайда циски:
>> IP traffic is not access controlled by MAC VLAN maps
> но "You can configure VLAN maps to match Layer 3 addresses for
> IPv4 traffic." mac access-list extended not-secure
permit any any
mac access-list extended secure
permit host 0800.27a5.05c5 any
permit any host 0800.27a5.05c5
permit host 3c97.0e26.f302 any
permit any host 3c97.0e26.f302
permit host b40c.258e.e401 any
permit any host b40c.258e.e401
permit host 001a.6d55.fc42 any
permit any host 001a.6d55.fc42
ip access-list extended allow
permit ip any any
!
!
!
vlan access-map block_hosts 10
action forward
match mac address secure
match ip address allow
vlan access-map block_hosts 20
action drop
match mac address not-secure
!
vlan filter block_hosts vlan-list 505
так тоже не работает, любой ip кроме локального во влане перестает пингаться с циски :(
причем судя по всему какой-то трафик всё же матчится:
#show access-lists
Extended IP access list allow
10 permit ip any any (323 matches)
Extended MAC access list not-secure
permit any any
Extended MAC access list secure
permit host 0800.27a5.05c5 any
permit any host 0800.27a5.05c5
permit host 3c97.0e26.f302 any
permit any host 3c97.0e26.f302
permit host b40c.258e.e401 any
permit any host b40c.258e.e401
permit host 001a.6d55.fc42 any
permit any host 001a.6d55.fc42
#show arp | i 155
Internet 192.168.155.34 0 Incomplete ARPA
Internet 192.168.155.10 - 001a.6d55.fc42 ARPA Vlan505
192.168.155.10 это локальный адрес циски
без фильтрации всё ок:
#sh arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.155.34 5 3005.5c7c.47f4 ARPA Vlan505
Internet 192.168.155.1 2 b40c.258e.e401 ARPA Vlan505
Internet 192.168.155.10 - 001a.6d55.fc42 ARPA Vlan505