Добрый день!
В процессе работы возникла необходимость воспользоваться acl 2го уровня. Суть в следующем. Есть Catalyst 3750. Необходимо запретить доступ хосту с мак адресом 0017.31bd.7745.
Написала следующий acl:mac access-list extended Filtr
deny 0017.31bd.7745 any
permit any anyНазначила его на порт:
interface Gi 1/0/1
mac access-group Filtr inИ он не работает. Трафик от этого хоста как шел так и идет, никакой фильтрации нет. В чем может быть проблема?
mac-address-table static 0017.31bd.7745 vlan 100 drop
> mac-address-table static 0017.31bd.7745 vlan 100 dropТакой вариант не подходит, если сделать так то трафик будет фильтроваться в обе стороны, а нужно отфильтровать трафик только на входе интерфейса Gi 1/0/1
Возможно, ошибка в синтаксисе:mac access-list extended Filtr
deny HOST 0017.31bd.7745 any
permit any any
> Возможно, ошибка в синтаксисе:
> mac access-list extended Filtr
> deny HOST 0017.31bd.7745 any
> permit any anyУ меня ошибка в первом посте, слово HOST в acl присутствует. Правильно будет так:
mac access-list extended Filtr
deny host 0017.31bd.7745 any
permit any any
interface Gi 1/0/1
mac access-group Filtr in
> Необходимо апретить доступ к хосту...Дык, может тогда всё-таки так:
mac access-list extended Filtr
deny any host 0017.31bd.7745
permit any any
>> Необходимо апретить доступ к хосту...
> Дык, может тогда всё-таки так:
> mac access-list extended Filtr
> deny any host 0017.31bd.7745
> permit any anyтак тоже не подойдет :) нужно отфильтровать кадры в которых мас адрес 0017.31bd.7745 является мас адресом именно источника.
вообще то если есть другое решение как отфильтровать кадры на входе интерфейса gi1/0/1, в поле источника которых содержится mac адрес 0017.31bd.7745 то можно и его попробовать. Port Security не предлагать, количество mac адресов и сами mac адреса постоянно меняются.
Можно попробовать конструкцию типа:
!
!-- Собственно, создаем mac acl --
!
mac access-list extended Filtr
deny host 0017.31bd.7745 any
permit any any
!
!-- Создаем VACL --
!
vlan access−map block_arp 10
action drop
match mac address Filtr
vlan access−map block_arp 20
action forward
!
!-- Применяем на vlan --
!
vlan filter block_arp vlan−list <vlan>
>[оверквотинг удален]
> !
> vlan access−map block_arp 10
> action drop
> match mac address Filtr
> vlan access−map block_arp 20
> action forward
> !
> !-- Применяем на vlan --
> !
> vlan filter block_arp vlan−list <vlan>такой вариант тоже не подойдет, кадры с таким мак адресом поступают и с транкового порта и с аксесовского gi 1/0/1, если применить такой список доступа, то фильтроваться будут и кадры на транковом порту, а нужно только на входе gi 1/0/1
попробуйте включить выключить
mls qos
> попробуйте включить выключить
> mls qosКакой результат должен быть после включения выключения qos? должен заработать mac acl? как связан qos и mac acl (если не учитывать Service-policy)?
Где-то недавно попалось, что mac acl в подобном исполнении закрывает только не IP-трафик.
Как вариант предложил бы вынести решение проблемы через L3, все-таки это L3-коммутатор. Да и никто не мешает жестко привязать мас к ip-address.
> Где-то недавно попалось, что mac acl в подобном исполнении закрывает только не
> IP-трафик.
> Как вариант предложил бы вынести решение проблемы через L3, все-таки это L3-коммутатор.
> Да и никто не мешает жестко привязать мас к ip-address.Вынести решение проблемы за счет определенной организации соединения на третий уровень не могу, а что если статически привязать МАС адрес к транковому порту. По идее на аксесовском порту gi 1/0/1 будут отбрасываться кадры с МАС адресом источника 0017.31bd.7745, а весь остальной трафик пропускаться.
mac address-table static 0017.31bd.7745 vlan 200 interface tengigabitethernet2/0/1