URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22055
[ Назад ]

Исходное сообщение
"не работает mac acl"
Отправлено Smetana , 17-Дек-10 16:09

Добрый день!
В процессе работы возникла необходимость воспользоваться acl 2го уровня. Суть в следующем. Есть Catalyst 3750. Необходимо запретить доступ хосту с мак адресом 0017.31bd.7745.
Написала следующий acl:
mac access-list extended Filtr
deny 0017.31bd.7745 any
permit any any
Назначила его на порт:
interface Gi 1/0/1
mac access-group Filtr in
И он не работает. Трафик от этого хоста как шел так и идет, никакой фильтрации нет. В чем может быть проблема?

Содержание

не работает mac acl,aZL, 16:57 , 17-Дек-10
- не работает mac acl,Smetana, 21:16 , 18-Дек-10
  - не работает mac acl,aZL, 10:32 , 20-Дек-10
    - не работает mac acl,Smetana, 15:19 , 20-Дек-10
      - не работает mac acl,aZL, 15:49 , 20-Дек-10
        
        не работает mac acl,Smetana, 16:03 , 20-Дек-10
        не работает mac acl,Smetana, 16:11 , 20-Дек-10
        
        не работает mac acl,aZL, 16:56 , 20-Дек-10
        
        не работает mac acl,Smetana, 17:41 , 20-Дек-10
не работает mac acl,Telesisc, 11:24 , 22-Дек-10
- не работает mac acl,Smetana, 16:47 , 22-Дек-10
  - не работает mac acl,Myxa, 22:57 , 22-Дек-10
    - не работает mac acl,Smetana, 21:47 , 27-Дек-10

Сообщения в этом обсуждении

"не работает mac acl"
Отправлено aZL , 17-Дек-10 16:57

mac-address-table static 0017.31bd.7745 vlan 100 drop

"не работает mac acl"
Отправлено Smetana , 18-Дек-10 21:16

> mac-address-table static 0017.31bd.7745 vlan 100 drop
Такой вариант не подходит, если сделать так то трафик будет фильтроваться в обе стороны, а нужно отфильтровать трафик только на входе интерфейса Gi 1/0/1

"не работает mac acl"
Отправлено aZL , 20-Дек-10 10:32

Возможно, ошибка в синтаксисе:
mac access-list extended Filtr
deny HOST 0017.31bd.7745 any
permit any any

"не работает mac acl"
Отправлено Smetana , 20-Дек-10 15:19

> Возможно, ошибка в синтаксисе:
> mac access-list extended Filtr
> deny HOST 0017.31bd.7745 any
> permit any any
У меня ошибка в первом посте, слово HOST в acl присутствует. Правильно будет так:
mac access-list extended Filtr
deny host 0017.31bd.7745 any
permit any any
interface Gi 1/0/1
mac access-group Filtr in

"не работает mac acl"
Отправлено aZL , 20-Дек-10 15:49

> Необходимо апретить доступ к хосту...
Дык, может тогда всё-таки так:
mac access-list extended Filtr
deny any host 0017.31bd.7745
permit any any

"не работает mac acl"
Отправлено Smetana , 20-Дек-10 16:03

>> Необходимо апретить доступ к хосту...
> Дык, может тогда всё-таки так:
> mac access-list extended Filtr
> deny any host 0017.31bd.7745
> permit any any
так тоже не подойдет :) нужно отфильтровать кадры в которых мас адрес 0017.31bd.7745 является мас адресом именно источника.

"не работает mac acl"
Отправлено Smetana , 20-Дек-10 16:11

вообще то если есть другое решение как отфильтровать кадры на входе интерфейса gi1/0/1, в поле источника которых содержится mac адрес 0017.31bd.7745 то можно и его попробовать. Port Security не предлагать, количество mac адресов и сами mac адреса постоянно меняются.

"не работает mac acl"
Отправлено aZL , 20-Дек-10 16:56

Можно попробовать конструкцию типа:
!
!-- Собственно, создаем mac acl --
!
mac access-list extended Filtr
deny host 0017.31bd.7745 any
permit any any
!
!-- Создаем VACL --
!
vlan access−map block_arp 10
action drop
match mac address Filtr
vlan access−map block_arp 20
action forward
!
!-- Применяем на vlan --
!
vlan filter block_arp vlan−list <vlan>

"не работает mac acl"
Отправлено Smetana , 20-Дек-10 17:41

>[оверквотинг удален]
> !
> vlan access−map block_arp 10
>  action drop
>  match mac address Filtr
> vlan access−map block_arp 20
>  action forward
> !
> !--  Применяем на vlan --
> !
> vlan filter block_arp vlan−list <vlan>
такой вариант тоже не подойдет, кадры с таким мак адресом поступают и с транкового порта и с аксесовского gi 1/0/1, если применить такой список доступа, то фильтроваться будут и кадры на транковом порту, а нужно только на входе gi 1/0/1

"не работает mac acl"
Отправлено Telesisc , 22-Дек-10 11:24

попробуйте включить выключить
mls qos

"не работает mac acl"
Отправлено Smetana , 22-Дек-10 16:47

> попробуйте включить выключить
> mls qos
Какой результат должен быть после включения выключения qos? должен заработать mac acl? как связан qos и mac acl (если не учитывать Service-policy)?

"не работает mac acl"
Отправлено Myxa , 22-Дек-10 22:57

Где-то недавно попалось, что mac acl в подобном исполнении закрывает только не IP-трафик.
Как вариант предложил бы вынести решение проблемы через L3, все-таки это L3-коммутатор. Да и никто не мешает жестко привязать мас к ip-address.

"не работает mac acl"
Отправлено Smetana , 27-Дек-10 21:47

> Где-то недавно попалось, что mac acl в подобном исполнении закрывает только не
> IP-трафик.
> Как вариант предложил бы вынести решение проблемы через L3, все-таки это L3-коммутатор.
> Да и никто не мешает жестко привязать мас к ip-address.
Вынести решение проблемы за счет определенной организации соединения на третий уровень не могу, а что если статически привязать МАС адрес к транковому порту. По идее на аксесовском порту gi 1/0/1 будут отбрасываться кадры с МАС адресом источника 0017.31bd.7745, а весь остальной трафик пропускаться.
mac address-table static 0017.31bd.7745 vlan 200 interface tengigabitethernet2/0/1