URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1928
[ Назад ]

Исходное сообщение
"фильтрация мак адресов во влане"
Отправлено Chuck Robbins , 01-Мрт-16 01:53

помогите, третий день уже бьюсь.
возникла необходимость фильтровать все мак-адреса во VLAN'e, кроме определенных.
есть замечательная статья, описывающая то же самое, но ровно наоброт - блокировка определенных мак адресов, при разрешенных всех остальных :
http://www.cisco.com/c/en/us/support/docs/switches/catalyst-...
ну значит надо сделать по аналогии (подумал я).
но на самом деле ничего не взлетает.
вот конфиг:
mac access-list extended secure
permit host 0800.27a5.05c5 any
permit any host 0800.27a5.05c5
permit host 3c97.0e26.f302 any
permit any host 3c97.0e26.f302
permit host b40c.258e.e401 any
permit any host b40c.258e.e401
permit host 001a.6d55.fc42 any
permit any host 001a.6d55.fc42
deny any any
!
!
vlan access-map block_hosts 10
action forward
match mac address secure
!
vlan filter block_hosts vlan-list 505

пробовал различные вариации из куска выше но результат всегда один и тот же. что бы я не делал всё приводит к тому, что во влане блокируется вообще весь трафик, пробовал даже с ethertype играться - одна фигня.
добавлял еще 20м правило это:
vlan access-map block_hosts 20
action drop
и убирал access-list'а deny any any - нихрена. блокируется весь трафик во влане вообще.
но при этом если делать как нарисовано в доке - блокировать определенные маки, разрешать все остальные - прекрасно работает. а вот в обратную сторону - нет
я там уже даже добавил в permit вообще все мак-адреса, которые на свитче крутятся. в том числе и те, что на CPU :)) всё равно не работает

Содержание

фильтрация мак адресов во влане,Chuck Robbins, 01:54 , 01-Мрт-16
- фильтрация мак адресов во влане,universite, 04:03 , 01-Мрт-16
  - фильтрация мак адресов во влане,Chuck Robbins, 16:49 , 01-Мрт-16
фильтрация мак адресов во влане,eek, 13:32 , 02-Мрт-16
- фильтрация мак адресов во влане,Chuck Robbins, 00:59 , 03-Мрт-16
  - фильтрация мак адресов во влане,Денис, 14:28 , 04-Мрт-16
    - фильтрация мак адресов во влане,Chuck Robbins, 14:40 , 04-Мрт-16
      - фильтрация мак адресов во влане,Денис, 14:45 , 04-Мрт-16
        
        фильтрация мак адресов во влане,Денис, 14:47 , 04-Мрт-16
        
        фильтрация мак адресов во влане,Chuck Robbins, 15:26 , 04-Мрт-16
        
        фильтрация мак адресов во влане,eek, 19:06 , 04-Мрт-16
        
        фильтрация мак адресов во влане,Chuck Robbins, 18:50 , 07-Мрт-16
        
        фильтрация мак адресов во влане,alexpn, 04:44 , 10-Мрт-16
фильтрация мак адресов во влане,Vladimir, 00:52 , 04-Апр-16

Сообщения в этом обсуждении

"фильтрация мак адресов во влане"
Отправлено Chuck Robbins , 01-Мрт-16 01:54

>[оверквотинг удален]
> vlan access-map block_hosts 20
> action drop
> и убирал access-list'а deny any any - нихрена. блокируется весь трафик во
> влане вообще.
> но при этом если делать как нарисовано в доке - блокировать определенные
> маки, разрешать все остальные - прекрасно работает. а вот в обратную
> сторону - нет
> я там уже даже добавил в permit вообще все мак-адреса, которые на
> свитче крутятся. в том числе и те, что на CPU :))
> всё равно не работает
да, забыл, модель:
Cisco IOS Software, C3750 Software (C3750-IPSERVICESK9-M), Version 12.2(55)SE10, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2015 by Cisco Systems, Inc.
Compiled Wed 11-Feb-15 11:40 by prod_rel_team
Image text-base: 0x01000000, data-base: 0x02F00000
ROM: Bootstrap program is C3750 boot loader
BOOTLDR: C3750 Boot Loader (C3750-HBOOT-M) Version 12.2(44)SE5, RELEASE SOFTWARE (fc1)
P.S. port-security не предлагать, я умру по всем портам в сетке мак-адреса прописывать и майнтейнить потом всё это)

"фильтрация мак адресов во влане"
Отправлено universite , 01-Мрт-16 04:03

> P.S. port-security не предлагать, я умру по всем портам в сетке мак-адреса
> прописывать и майнтейнить потом всё это)
Гляньте NOC.Project. Похоже, у вас проблемы с управляемостью сети.

"фильтрация мак адресов во влане"
Отправлено Chuck Robbins , 01-Мрт-16 16:49

>> P.S. port-security не предлагать, я умру по всем портам в сетке мак-адреса
>> прописывать и майнтейнить потом всё это)
> Гляньте NOC.Project. Похоже, у вас проблемы с управляемостью сети.
это самый простой способ решения проблемы? ))))

"фильтрация мак адресов во влане"
Отправлено eek , 02-Мрт-16 13:32

Если так:
mac access-list extended secure
permit host 0800.27a5.05c5 any
permit any host 0800.27a5.05c5
permit host 3c97.0e26.f302 any
permit any host 3c97.0e26.f302
permit host b40c.258e.e401 any
permit any host b40c.258e.e401
permit host 001a.6d55.fc42 any
permit any host 001a.6d55.fc42
!-- убрали deny тут---
!
mac access-list extended not-secure
permit any any
!--сделали лист для deny через permit--
!
vlan access-map block_hosts 10
action forward
match mac address secure
!
!--добавили в vacl, deny через permit--
vlan access-map block_hosts 20
action drop
match mac address not-secure
!
vlan filter block_hosts vlan-list 505

"фильтрация мак адресов во влане"
Отправлено Chuck Robbins , 03-Мрт-16 00:59

>[оверквотинг удален]
> vlan access-map block_hosts 10
> action forward
> match mac address secure
> !
> !--добавили в vacl, deny через permit--
> vlan access-map block_hosts 20
> action drop
> match mac address not-secure
> !
> vlan filter block_hosts vlan-list 505
тоже не сработало:(

"фильтрация мак адресов во влане"
Отправлено Денис , 04-Мрт-16 14:28

>[оверквотинг удален]
>> action forward
>> match mac address secure
>> !
>> !--добавили в vacl, deny через permit--
>> vlan access-map block_hosts 20
>> action drop
>> match mac address not-secure
>> !
>> vlan filter block_hosts vlan-list 505
> тоже не сработало:(
а как проверяете работоспособность VACL?

"фильтрация мак адресов во влане"
Отправлено Chuck Robbins , 04-Мрт-16 14:40

>[оверквотинг удален]
>>> match mac address secure
>>> !
>>> !--добавили в vacl, deny через permit--
>>> vlan access-map block_hosts 20
>>> action drop
>>> match mac address not-secure
>>> !
>>> vlan filter block_hosts vlan-list 505
>> тоже не сработало:(
> а как проверяете работоспособность VACL?
пингаю хосты, которые добавлены в "match mac address secure". они не пингаются и во всем влане отваливается сетка.

"фильтрация мак адресов во влане"
Отправлено Денис , 04-Мрт-16 14:45

>[оверквотинг удален]
>>>> !--добавили в vacl, deny через permit--
>>>> vlan access-map block_hosts 20
>>>> action drop
>>>> match mac address not-secure
>>>> !
>>>> vlan filter block_hosts vlan-list 505
>>> тоже не сработало:(
>> а как проверяете работоспособность VACL?
> пингаю хосты, которые добавлены в "match mac address secure". они не пингаются
> и во всем влане отваливается сетка.
из гайда циски:
IP traffic is not access controlled by MAC VLAN maps

"фильтрация мак адресов во влане"
Отправлено Денис , 04-Мрт-16 14:47

>[оверквотинг удален]
>>>>> action drop
>>>>> match mac address not-secure
>>>>> !
>>>>> vlan filter block_hosts vlan-list 505
>>>> тоже не сработало:(
>>> а как проверяете работоспособность VACL?
>> пингаю хосты, которые добавлены в "match mac address secure". они не пингаются
>> и во всем влане отваливается сетка.
> из гайда циски:
> IP traffic is not access controlled by MAC VLAN maps
но "You can configure VLAN maps to match Layer 3 addresses for IPv4 traffic."

"фильтрация мак адресов во влане"
Отправлено Chuck Robbins , 04-Мрт-16 15:26

>[оверквотинг удален]
>>>>>> !
>>>>>> vlan filter block_hosts vlan-list 505
>>>>>  тоже не сработало:(
>>>> а как проверяете работоспособность VACL?
>>> пингаю хосты, которые добавлены в "match mac address secure". они не пингаются
>>> и во всем влане отваливается сетка.
>> из гайда циски:
>> IP traffic is not access controlled by MAC VLAN maps
> но "You can configure VLAN maps to match Layer 3 addresses for
> IPv4 traffic."
mac access-list extended not-secure
permit any any
mac access-list extended secure
permit host 0800.27a5.05c5 any
permit any host 0800.27a5.05c5
permit host 3c97.0e26.f302 any
permit any host 3c97.0e26.f302
permit host b40c.258e.e401 any
permit any host b40c.258e.e401
permit host 001a.6d55.fc42 any
permit any host 001a.6d55.fc42
ip access-list extended allow
permit ip any any
!
!
!
vlan access-map block_hosts 10
action forward
match mac address secure
match ip address allow
vlan access-map block_hosts 20
action drop
match mac address not-secure
!
vlan filter block_hosts vlan-list 505

так тоже не работает, любой ip кроме локального во влане перестает пингаться с циски :(

причем судя по всему какой-то трафик всё же матчится:
#show access-lists
Extended IP access list allow
    10 permit ip any any (323 matches)
Extended MAC access list not-secure
    permit any any
Extended MAC access list secure
    permit host 0800.27a5.05c5 any
    permit any host 0800.27a5.05c5
    permit host 3c97.0e26.f302 any
    permit any host 3c97.0e26.f302
    permit host b40c.258e.e401 any
    permit any host b40c.258e.e401
    permit host 001a.6d55.fc42 any
    permit any host 001a.6d55.fc42
#show arp  | i 155
Internet  192.168.155.34          0   Incomplete      ARPA
Internet  192.168.155.10          -   001a.6d55.fc42  ARPA   Vlan505

192.168.155.10   это локальный адрес циски
без фильтрации всё ок:
#sh arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  192.168.155.34          5   3005.5c7c.47f4  ARPA   Vlan505
Internet  192.168.155.1           2   b40c.258e.e401  ARPA   Vlan505
Internet  192.168.155.10          -   001a.6d55.fc42  ARPA   Vlan505

"фильтрация мак адресов во влане"
Отправлено eek , 04-Мрт-16 19:06

Наоборот попробуйте:
!
vlan access-map block_hosts 10
action drop
match mac address not-secure
!
vlan access-map block_hosts 20
action forward
match mac address secure
!

"фильтрация мак адресов во влане"
Отправлено Chuck Robbins , 07-Мрт-16 18:50

> Наоборот попробуйте:
> !
> vlan access-map block_hosts 10
> action drop
> match mac address not-secure
> !
> vlan access-map block_hosts 20
> action forward
> match mac address secure
> !
всё равно не работает.
попробовал еще в ваш вариант match address добавить - тоже не работает. отваливаются все хосты во влане, включая те, что в permit.
какие-то пакеты все равно матчятся:
#sh access-lists
Extended IP access list allow
    10 permit ip any any (409 matches)
Extended MAC access list not-secure
    permit any any
Extended MAC access list secure
    permit host 0800.27a5.05c5 any
    permit any host 0800.27a5.05c5
    permit host 3c97.0e26.f302 any
    permit any host 3c97.0e26.f302
    permit host b40c.258e.e401 any
    permit any host b40c.258e.e401
    permit host 001a.6d55.fc42 any
    permit any host 001a.6d55.fc42

сейчас вариант конфига такой:
mac access-list extended not-secure
permit any any
mac access-list extended secure
permit host 0800.27a5.05c5 any
permit any host 0800.27a5.05c5
permit host 3c97.0e26.f302 any
permit any host 3c97.0e26.f302
permit host b40c.258e.e401 any
permit any host b40c.258e.e401
permit host 001a.6d55.fc42 any
permit any host 001a.6d55.fc42
!
vlan access-map block_hosts 10
action drop
match mac address not-secure
vlan access-map block_hosts 20
action forward
match mac address secure
match ip address allow
!
vlan filter block_hosts vlan-list 505
vlan internal allocation policy ascending
lldp run
!
!
!
ip access-list extended allow
permit ip any any
может какой-то debug можно включить? уже не знаю в какую сторону копать.

"фильтрация мак адресов во влане"
Отправлено alexpn , 10-Мрт-16 04:44

может так ?
access-list ?
  <1-99>            IP standard access list
  <100-199>         IP extended access list
  <1100-1199>       Extended 48-bit MAC address access list
  <1300-1999>       IP standard access list (expanded range)
  <200-299>         Protocol type-code access list
  <2000-2699>       IP extended access list (expanded range)
  <700-799>         48-bit MAC address access list
  dynamic-extended  Extend the dynamic ACL absolute timer
  rate-limit        Simple rate-limit specific access list
правила от
<1100-1199>       Extended 48-bit MAC address access list
access-list 1100 permit ?
  H.H.H  48-bit hardware source address
show version
Cisco IOS Software, C3750 Software (C3750-IPSERVICESK9-M), Version 12.2(55)SE9, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2014 by Cisco Systems, Inc.
Compiled Mon 03-Mar-14 22:45 by prod_rel_team
Image text-base: 0x01000000, data-base: 0x02F00000

"фильтрация мак адресов во влане"
Отправлено Vladimir , 04-Апр-16 00:52

А пробовали что-то типа такого варианта:
mac access-list extended secure
deny host 0800.27a5.05c5 any
deny any host 0800.27a5.05c5
deny host 3c97.0e26.f302 any
deny any host 3c97.0e26.f302
...
permit any any
!
!
vlan access-map block_hosts 10
action drop
match mac address secure
vlan access-map block_hosts 20
action forward

подзабыл теорию, но можно предположить, что попавшее под deny не будет обрабатываться 10-м правилом и попадет под 20-е.