https://www.opennet.ru/openforum/vsluhforumID6/1928.html помогите, третий день уже бьюсь.<br><br>возникла необходимость фильтровать все мак-адреса во VLAN'e, кроме определенных.<br>есть замечательная статья, описывающая то же самое, но ровно наоброт - блокировка определенных мак адресов, при разрешенных всех остальных :<br>http://www.cisco.com/c/en/us/support/docs/switches/catalyst-3550-series-switches/64844-mac-acl-block-arp.html<br><br>ну значит надо сделать по аналогии (подумал я).<br>но на самом деле ничего не взлетает.<br><br>вот конфиг:<br><br>mac access-list extended secure<br> permit host 0800.27a5.05c5 any<br> permit any host 0800.27a5.05c5<br> permit host 3c97.0e26.f302 any<br> permit any host 3c97.0e26.f302<br> permit host b40c.258e.e401 any<br> permit any host b40c.258e.e401<br> permit host 001a.6d55.fc42 any<br> permit any host 001a.6d55.fc42<br> deny any any<br>!<br>!<br>vlan access-map block_hosts 10<br> action forward<br> match mac address secure<br>!<br><br>vlan filter block_hosts vlan-list 505<br><br><br>пробовал различные вариации из куска выше но результат всегда один и тот же. что бы я не делал всё привод https://www.opennet.ru/openforum/vsluhforumID6/1928.html#14 Sun, 03 Apr 2016 21:52:07 GMT А пробовали что-то типа такого варианта:<br><br>mac access-list extended secure<br>deny host 0800.27a5.05c5 any<br>deny any host 0800.27a5.05c5<br>deny host 3c97.0e26.f302 any<br>deny any host 3c97.0e26.f302<br>...<br>permit any any<br>!<br>!<br>vlan access-map block_hosts 10<br>action drop<br>match mac address secure<br><br>vlan access-map block_hosts 20<br>action forward<br><br><br>подзабыл теорию, но можно предположить, что попавшее под deny не будет обрабатываться 10-м правилом и попадет под 20-е.<br> https://www.opennet.ru/openforum/vsluhforumID6/1928.html#13 Thu, 10 Mar 2016 01:44:14 GMT может так ?<br><br>access-list ?<br> &lt;1-99&gt; IP standard access list<br> &lt;100-199&gt; IP extended access list<br> &lt;1100-1199&gt; Extended 48-bit MAC address access list<br> &lt;1300-1999&gt; IP standard access list (expanded range)<br> &lt;200-299&gt; Protocol type-code access list<br> &lt;2000-2699&gt; IP extended access list (expanded range)<br> &lt;700-799&gt; 48-bit MAC address access list<br> dynamic-extended Extend the dynamic ACL absolute timer<br> rate-limit Simple rate-limit specific access list<br>правила от <br>&lt;1100-1199&gt; Extended 48-bit MAC address access list<br><br>access-list 1100 permit ?<br> H.H.H 48-bit hardware source address<br><br>show version <br>Cisco IOS Software, C3750 Software (C3750-IPSERVICESK9-M), Version 12.2(55)SE9, RELEASE SOFTWARE (fc1)<br>Technical Support: http://www.cisco.com/techsupport<br>Copyright (c) 1986-2014 by Cisco Systems, Inc.<br>Compiled Mon 03-Mar-14 22:45 by prod_rel_team<br>Image text-base: 0x01000000, data-base: 0x02F00000<br> https://www.opennet.ru/openforum/vsluhforumID6/1928.html#12 Mon, 07 Mar 2016 15:50:53 GMT &gt; Наоборот попробуйте: <br>&gt; !<br>&gt; vlan access-map block_hosts 10 <br>&gt; action drop <br>&gt; match mac address not-secure <br>&gt; !<br>&gt; vlan access-map block_hosts 20 <br>&gt; action forward <br>&gt; match mac address secure <br>&gt; !<br><br>всё равно не работает.<br><br>попробовал еще в ваш вариант match address добавить - тоже не работает. отваливаются все хосты во влане, включая те, что в permit.<br><br>какие-то пакеты все равно матчятся: <br>#sh access-lists<br>Extended IP access list allow<br> 10 permit ip any any (409 matches)<br>Extended MAC access list not-secure<br> permit any any<br>Extended MAC access list secure<br> permit host 0800.27a5.05c5 any<br> permit any host 0800.27a5.05c5<br> permit host 3c97.0e26.f302 any<br> permit any host 3c97.0e26.f302<br> permit host b40c.258e.e401 any<br> permit any host b40c.258e.e401<br> permit host 001a.6d55.fc42 any<br> permit any host 001a.6d55.fc42<br><br><br>сейчас вариант конфига такой:<br><br>mac access-list extended not-secure<br> permit any any<br>mac access-list extended secure<br> permit host 0800.27a5.05c5 https://www.opennet.ru/openforum/vsluhforumID6/1928.html#11 Fri, 04 Mar 2016 16:06:28 GMT Наоборот попробуйте:<br><br>!<br>vlan access-map block_hosts 10<br>action drop<br>match mac address not-secure<br>!<br>vlan access-map block_hosts 20<br>action forward<br>match mac address secure<br>!<br> https://www.opennet.ru/openforum/vsluhforumID6/1928.html#10 Fri, 04 Mar 2016 12:26:04 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;&gt;&gt; !<br>&gt;&gt;&gt;&gt;&gt;&gt; vlan filter block_hosts vlan-list 505 <br>&gt;&gt;&gt;&gt;&gt; тоже не сработало:( <br>&gt;&gt;&gt;&gt; а как проверяете работоспособность VACL?<br>&gt;&gt;&gt; пингаю хосты, которые добавлены в "match mac address secure". они не пингаются <br>&gt;&gt;&gt; и во всем влане отваливается сетка.<br>&gt;&gt; из гайда циски: <br>&gt;&gt; IP traffic is not access controlled by MAC VLAN maps <br>&gt; но "You can configure VLAN maps to match Layer 3 addresses for <br>&gt; IPv4 traffic." <br><br>mac access-list extended not-secure<br> permit any any<br>mac access-list extended secure<br> permit host 0800.27a5.05c5 any<br> permit any host 0800.27a5.05c5<br> permit host 3c97.0e26.f302 any<br> permit any host 3c97.0e26.f302<br> permit host b40c.258e.e401 any<br> permit any host b40c.258e.e401<br> permit host 001a.6d55.fc42 any<br> permit any host 001a.6d55.fc42<br><br>ip access-list extended allow<br> permit ip any any<br>!<br>!<br><br>!<br>vlan access-map block_hosts 10<br> action forward<br> match mac address secure<br> match ip address allow<br>vlan access-map block_hosts 20<br> action drop<br> match mac a https://www.opennet.ru/openforum/vsluhforumID6/1928.html#9 Fri, 04 Mar 2016 11:47:46 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;&gt; action drop <br>&gt;&gt;&gt;&gt;&gt; match mac address not-secure <br>&gt;&gt;&gt;&gt;&gt; !<br>&gt;&gt;&gt;&gt;&gt; vlan filter block_hosts vlan-list 505 <br>&gt;&gt;&gt;&gt; тоже не сработало:( <br>&gt;&gt;&gt; а как проверяете работоспособность VACL?<br>&gt;&gt; пингаю хосты, которые добавлены в "match mac address secure". они не пингаются <br>&gt;&gt; и во всем влане отваливается сетка.<br>&gt; из гайда циски: <br>&gt; IP traffic is not access controlled by MAC VLAN maps <br><br>но "You can configure VLAN maps to match Layer 3 addresses for IPv4 traffic."<br><br> https://www.opennet.ru/openforum/vsluhforumID6/1928.html#8 Fri, 04 Mar 2016 11:45:45 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; !--добавили в vacl, deny через permit-- <br>&gt;&gt;&gt;&gt; vlan access-map block_hosts 20 <br>&gt;&gt;&gt;&gt; action drop <br>&gt;&gt;&gt;&gt; match mac address not-secure <br>&gt;&gt;&gt;&gt; !<br>&gt;&gt;&gt;&gt; vlan filter block_hosts vlan-list 505 <br>&gt;&gt;&gt; тоже не сработало:( <br>&gt;&gt; а как проверяете работоспособность VACL?<br>&gt; пингаю хосты, которые добавлены в "match mac address secure". они не пингаются <br>&gt; и во всем влане отваливается сетка.<br><br>из гайда циски:<br>IP traffic is not access controlled by MAC VLAN maps<br> https://www.opennet.ru/openforum/vsluhforumID6/1928.html#7 Fri, 04 Mar 2016 11:40:43 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; match mac address secure <br>&gt;&gt;&gt; !<br>&gt;&gt;&gt; !--добавили в vacl, deny через permit-- <br>&gt;&gt;&gt; vlan access-map block_hosts 20 <br>&gt;&gt;&gt; action drop <br>&gt;&gt;&gt; match mac address not-secure <br>&gt;&gt;&gt; !<br>&gt;&gt;&gt; vlan filter block_hosts vlan-list 505 <br>&gt;&gt; тоже не сработало:( <br>&gt; а как проверяете работоспособность VACL?<br><br>пингаю хосты, которые добавлены в "match mac address secure". они не пингаются и во всем влане отваливается сетка.<br> https://www.opennet.ru/openforum/vsluhforumID6/1928.html#6 Fri, 04 Mar 2016 11:28:27 GMT &gt;[оверквотинг удален]<br>&gt;&gt; action forward <br>&gt;&gt; match mac address secure <br>&gt;&gt; !<br>&gt;&gt; !--добавили в vacl, deny через permit-- <br>&gt;&gt; vlan access-map block_hosts 20 <br>&gt;&gt; action drop <br>&gt;&gt; match mac address not-secure <br>&gt;&gt; !<br>&gt;&gt; vlan filter block_hosts vlan-list 505 <br>&gt; тоже не сработало:( <br><br>а как проверяете работоспособность VACL?<br>