помогите, третий день уже бьюсь.возникла необходимость фильтровать все мак-адреса во VLAN'e, кроме определенных.
есть замечательная статья, описывающая то же самое, но ровно наоброт - блокировка определенных мак адресов, при разрешенных всех остальных :
http://www.cisco.com/c/en/us/support/docs/switches/catalyst-...ну значит надо сделать по аналогии (подумал я).
но на самом деле ничего не взлетает.вот конфиг:
mac access-list extended secure
permit host 0800.27a5.05c5 any
permit any host 0800.27a5.05c5
permit host 3c97.0e26.f302 any
permit any host 3c97.0e26.f302
permit host b40c.258e.e401 any
permit any host b40c.258e.e401
permit host 001a.6d55.fc42 any
permit any host 001a.6d55.fc42
deny any any
!
!
vlan access-map block_hosts 10
action forward
match mac address secure
!vlan filter block_hosts vlan-list 505
пробовал различные вариации из куска выше но результат всегда один и тот же. что бы я не делал всё приводит к тому, что во влане блокируется вообще весь трафик, пробовал даже с ethertype играться - одна фигня.добавлял еще 20м правило это:
vlan access-map block_hosts 20
action dropи убирал access-list'а deny any any - нихрена. блокируется весь трафик во влане вообще.
но при этом если делать как нарисовано в доке - блокировать определенные маки, разрешать все остальные - прекрасно работает. а вот в обратную сторону - нетя там уже даже добавил в permit вообще все мак-адреса, которые на свитче крутятся. в том числе и те, что на CPU :)) всё равно не работает
>[оверквотинг удален]
> vlan access-map block_hosts 20
> action drop
> и убирал access-list'а deny any any - нихрена. блокируется весь трафик во
> влане вообще.
> но при этом если делать как нарисовано в доке - блокировать определенные
> маки, разрешать все остальные - прекрасно работает. а вот в обратную
> сторону - нет
> я там уже даже добавил в permit вообще все мак-адреса, которые на
> свитче крутятся. в том числе и те, что на CPU :))
> всё равно не работаетда, забыл, модель:
Cisco IOS Software, C3750 Software (C3750-IPSERVICESK9-M), Version 12.2(55)SE10, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2015 by Cisco Systems, Inc.
Compiled Wed 11-Feb-15 11:40 by prod_rel_team
Image text-base: 0x01000000, data-base: 0x02F00000ROM: Bootstrap program is C3750 boot loader
BOOTLDR: C3750 Boot Loader (C3750-HBOOT-M) Version 12.2(44)SE5, RELEASE SOFTWARE (fc1)P.S. port-security не предлагать, я умру по всем портам в сетке мак-адреса прописывать и майнтейнить потом всё это)
> P.S. port-security не предлагать, я умру по всем портам в сетке мак-адреса
> прописывать и майнтейнить потом всё это)Гляньте NOC.Project. Похоже, у вас проблемы с управляемостью сети.
>> P.S. port-security не предлагать, я умру по всем портам в сетке мак-адреса
>> прописывать и майнтейнить потом всё это)
> Гляньте NOC.Project. Похоже, у вас проблемы с управляемостью сети.это самый простой способ решения проблемы? ))))
Если так:mac access-list extended secure
permit host 0800.27a5.05c5 any
permit any host 0800.27a5.05c5
permit host 3c97.0e26.f302 any
permit any host 3c97.0e26.f302
permit host b40c.258e.e401 any
permit any host b40c.258e.e401
permit host 001a.6d55.fc42 any
permit any host 001a.6d55.fc42
!-- убрали deny тут---
!
mac access-list extended not-secure
permit any any
!--сделали лист для deny через permit--!
vlan access-map block_hosts 10
action forward
match mac address secure
!
!--добавили в vacl, deny через permit--
vlan access-map block_hosts 20
action drop
match mac address not-secure
!
vlan filter block_hosts vlan-list 505
>[оверквотинг удален]
> vlan access-map block_hosts 10
> action forward
> match mac address secure
> !
> !--добавили в vacl, deny через permit--
> vlan access-map block_hosts 20
> action drop
> match mac address not-secure
> !
> vlan filter block_hosts vlan-list 505тоже не сработало:(
>[оверквотинг удален]
>> action forward
>> match mac address secure
>> !
>> !--добавили в vacl, deny через permit--
>> vlan access-map block_hosts 20
>> action drop
>> match mac address not-secure
>> !
>> vlan filter block_hosts vlan-list 505
> тоже не сработало:(а как проверяете работоспособность VACL?
>[оверквотинг удален]
>>> match mac address secure
>>> !
>>> !--добавили в vacl, deny через permit--
>>> vlan access-map block_hosts 20
>>> action drop
>>> match mac address not-secure
>>> !
>>> vlan filter block_hosts vlan-list 505
>> тоже не сработало:(
> а как проверяете работоспособность VACL?пингаю хосты, которые добавлены в "match mac address secure". они не пингаются и во всем влане отваливается сетка.
>[оверквотинг удален]
>>>> !--добавили в vacl, deny через permit--
>>>> vlan access-map block_hosts 20
>>>> action drop
>>>> match mac address not-secure
>>>> !
>>>> vlan filter block_hosts vlan-list 505
>>> тоже не сработало:(
>> а как проверяете работоспособность VACL?
> пингаю хосты, которые добавлены в "match mac address secure". они не пингаются
> и во всем влане отваливается сетка.из гайда циски:
IP traffic is not access controlled by MAC VLAN maps
>[оверквотинг удален]
>>>>> action drop
>>>>> match mac address not-secure
>>>>> !
>>>>> vlan filter block_hosts vlan-list 505
>>>> тоже не сработало:(
>>> а как проверяете работоспособность VACL?
>> пингаю хосты, которые добавлены в "match mac address secure". они не пингаются
>> и во всем влане отваливается сетка.
> из гайда циски:
> IP traffic is not access controlled by MAC VLAN mapsно "You can configure VLAN maps to match Layer 3 addresses for IPv4 traffic."
>[оверквотинг удален]
>>>>>> !
>>>>>> vlan filter block_hosts vlan-list 505
>>>>> тоже не сработало:(
>>>> а как проверяете работоспособность VACL?
>>> пингаю хосты, которые добавлены в "match mac address secure". они не пингаются
>>> и во всем влане отваливается сетка.
>> из гайда циски:
>> IP traffic is not access controlled by MAC VLAN maps
> но "You can configure VLAN maps to match Layer 3 addresses for
> IPv4 traffic."mac access-list extended not-secure
permit any any
mac access-list extended secure
permit host 0800.27a5.05c5 any
permit any host 0800.27a5.05c5
permit host 3c97.0e26.f302 any
permit any host 3c97.0e26.f302
permit host b40c.258e.e401 any
permit any host b40c.258e.e401
permit host 001a.6d55.fc42 any
permit any host 001a.6d55.fc42ip access-list extended allow
permit ip any any
!
!!
vlan access-map block_hosts 10
action forward
match mac address secure
match ip address allow
vlan access-map block_hosts 20
action drop
match mac address not-secure
!vlan filter block_hosts vlan-list 505
так тоже не работает, любой ip кроме локального во влане перестает пингаться с циски :(
причем судя по всему какой-то трафик всё же матчится:#show access-lists
Extended IP access list allow
10 permit ip any any (323 matches)
Extended MAC access list not-secure
permit any any
Extended MAC access list secure
permit host 0800.27a5.05c5 any
permit any host 0800.27a5.05c5
permit host 3c97.0e26.f302 any
permit any host 3c97.0e26.f302
permit host b40c.258e.e401 any
permit any host b40c.258e.e401
permit host 001a.6d55.fc42 any
permit any host 001a.6d55.fc42#show arp | i 155
Internet 192.168.155.34 0 Incomplete ARPA
Internet 192.168.155.10 - 001a.6d55.fc42 ARPA Vlan505
192.168.155.10 это локальный адрес цискибез фильтрации всё ок:
#sh arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.155.34 5 3005.5c7c.47f4 ARPA Vlan505
Internet 192.168.155.1 2 b40c.258e.e401 ARPA Vlan505
Internet 192.168.155.10 - 001a.6d55.fc42 ARPA Vlan505
Наоборот попробуйте:!
vlan access-map block_hosts 10
action drop
match mac address not-secure
!
vlan access-map block_hosts 20
action forward
match mac address secure
!
> Наоборот попробуйте:
> !
> vlan access-map block_hosts 10
> action drop
> match mac address not-secure
> !
> vlan access-map block_hosts 20
> action forward
> match mac address secure
> !всё равно не работает.
попробовал еще в ваш вариант match address добавить - тоже не работает. отваливаются все хосты во влане, включая те, что в permit.
какие-то пакеты все равно матчятся:
#sh access-lists
Extended IP access list allow
10 permit ip any any (409 matches)
Extended MAC access list not-secure
permit any any
Extended MAC access list secure
permit host 0800.27a5.05c5 any
permit any host 0800.27a5.05c5
permit host 3c97.0e26.f302 any
permit any host 3c97.0e26.f302
permit host b40c.258e.e401 any
permit any host b40c.258e.e401
permit host 001a.6d55.fc42 any
permit any host 001a.6d55.fc42
сейчас вариант конфига такой:mac access-list extended not-secure
permit any any
mac access-list extended secure
permit host 0800.27a5.05c5 any
permit any host 0800.27a5.05c5
permit host 3c97.0e26.f302 any
permit any host 3c97.0e26.f302
permit host b40c.258e.e401 any
permit any host b40c.258e.e401
permit host 001a.6d55.fc42 any
permit any host 001a.6d55.fc42!
vlan access-map block_hosts 10
action drop
match mac address not-secure
vlan access-map block_hosts 20
action forward
match mac address secure
match ip address allow
!
vlan filter block_hosts vlan-list 505
vlan internal allocation policy ascending
lldp run
!
!
!
ip access-list extended allow
permit ip any anyможет какой-то debug можно включить? уже не знаю в какую сторону копать.
может так ?access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
<1100-1199> Extended 48-bit MAC address access list
<1300-1999> IP standard access list (expanded range)
<200-299> Protocol type-code access list
<2000-2699> IP extended access list (expanded range)
<700-799> 48-bit MAC address access list
dynamic-extended Extend the dynamic ACL absolute timer
rate-limit Simple rate-limit specific access list
правила от
<1100-1199> Extended 48-bit MAC address access listaccess-list 1100 permit ?
H.H.H 48-bit hardware source addressshow version
Cisco IOS Software, C3750 Software (C3750-IPSERVICESK9-M), Version 12.2(55)SE9, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2014 by Cisco Systems, Inc.
Compiled Mon 03-Mar-14 22:45 by prod_rel_team
Image text-base: 0x01000000, data-base: 0x02F00000
А пробовали что-то типа такого варианта:mac access-list extended secure
deny host 0800.27a5.05c5 any
deny any host 0800.27a5.05c5
deny host 3c97.0e26.f302 any
deny any host 3c97.0e26.f302
...
permit any any
!
!
vlan access-map block_hosts 10
action drop
match mac address securevlan access-map block_hosts 20
action forward
подзабыл теорию, но можно предположить, что попавшее под deny не будет обрабатываться 10-м правилом и попадет под 20-е.