Доброго времени суток!есть каталист, к портам которого подключены абоненты (кто через дслам, кто - напрямую...), нужно защитить сеть от езернет кадров идущих от абонентов с source MAC'ами брасов.
Можно для начала сделать так:
int fastEthernet 0/1
mac access-group no-bras-mac inи соответственно:
mac access-list extended no-bras-mac
deny host <MAC-BRAS-1> any
deny host <MAC-BRAS-2> any
permit any anyВсе вроде бы? Ан нет... mac access-group работает ТОЛЬКО для НЕ ip трафика (по документации и согласно моим экспериментам). То есть pppoe и arp работать не будут, но обычный IP пакет пройдет, в результате кадр с подставленным маком дойдет до ядра сети и центральный свич будет думать что брас находится в двух местах. Так можно обычным пингом навредить провайдеру.
Что делать? Cisco предлагает поставить одновременно с mac access-group еще и ip access-group на интерфейс, и там фильтровать IP трафик. Хорошо:interface FastEthernet0/1
ip access-group no-bras-ip inip access-list extended no-bras-ip
deny ?
<0-255> An IP protocol number
ahp Authentication Header Protocol
eigrp Cisco's EIGRP routing protocol
esp Encapsulation Security Payload
gre Cisco's GRE tunneling
icmp Internet Control Message Protocol
igmp Internet Gateway Message Protocol
igrp Cisco's IGRP routing protocol
ip Any Internet Protocol
ipinip IP in IP tunneling
nos KA9Q NOS compatible IP over IP tunneling
ospf OSPF routing protocol
pcp Payload Compression Protocol
pim Protocol Independent Multicast
tcp Transmission Control Protocol
udp User Datagram ProtocolНо здесь же нельзя матчить пакеты по макам? Логично - это же IP access-list - а в ip пакете макам делать нечего :-)
Хм... что же делать?
Да... забыл сказать - есть же еще vlan access-lists, но там можно заблокировать нужный mac целиком в влане, а мне то нужно заблокировать только кадры с src mac идущие с определенных портов, иначе я заблокирую мак браса и отрублю всем интернет...
>Все вроде бы? Ан нет... mac access-group работает ТОЛЬКО для НЕ ip
>трафика (по документации и согласно моим экспериментам).Разве? Что то у меня не так было, когда по ошибке добавил не тот mac.
А вообще делал так. Не понравилось только то что поставить логирование на как на IP access-list нельзя.
mac access-list extended sacz
deny host xxxx.xxxx.xxxx any
....
permit any anyinterface GigabitEthernet1/0/6
switchport access vlan 201
switchport mode access
mac access-group sacz in
interface Vlan201
ip address x.x.x.x
ip access-group LabnetIn in
ip access-group LabnetOut out
Спасибо за ответ!Но mac access-group все же действует только на не IP трафик, в вашем случае просто не может отработать arp и клиент теряет связь, но его кадры пройдут дальше по влану и могут навредить табличкам mac/port этого и других (по пути следования) каталистов. Вот как с этим бороться?
попробуйте задать статикой связку mac - интерфейс для наиболее критичных адресов в сети.
при имеющейся статической записи каталист не делает лерн на мак прилетевшего пакета из юзер порта.