The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"catalyst 3550 и ограничение по src-mac"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"catalyst 3550 и ограничение по src-mac"  +/
Сообщение от zelyukin (ok) on 05-Фев-10, 12:38 
Доброго времени суток!

есть каталист, к портам которого подключены абоненты (кто через дслам, кто - напрямую...), нужно защитить сеть от езернет кадров идущих от абонентов с source MAC'ами брасов.
Можно для начала сделать так:
int fastEthernet 0/1
mac access-group no-bras-mac in

и соответственно:

mac access-list extended no-bras-mac
deny host <MAC-BRAS-1> any
deny host <MAC-BRAS-2> any
permit any any

Все вроде бы? Ан нет... mac access-group работает ТОЛЬКО для НЕ ip трафика (по документации и согласно моим экспериментам). То есть pppoe и arp работать не будут, но обычный IP пакет пройдет, в результате кадр с подставленным маком дойдет до ядра сети и центральный свич будет думать что брас находится в двух местах. Так можно обычным пингом навредить провайдеру.
Что делать? Cisco предлагает поставить одновременно с mac access-group еще и ip access-group на интерфейс, и там фильтровать IP трафик. Хорошо:

interface FastEthernet0/1
ip access-group no-bras-ip in

ip access-list extended no-bras-ip
deny ?
<0-255> An IP protocol number
ahp Authentication Header Protocol
eigrp Cisco's EIGRP routing protocol
esp Encapsulation Security Payload
gre Cisco's GRE tunneling
icmp Internet Control Message Protocol
igmp Internet Gateway Message Protocol
igrp Cisco's IGRP routing protocol
ip Any Internet Protocol
ipinip IP in IP tunneling
nos KA9Q NOS compatible IP over IP tunneling
ospf OSPF routing protocol
pcp Payload Compression Protocol
pim Protocol Independent Multicast
tcp Transmission Control Protocol
udp User Datagram Protocol

Но здесь же нельзя матчить пакеты по макам? Логично - это же IP access-list - а в ip пакете макам делать нечего :-)

Хм... что же делать?

Да... забыл сказать - есть же еще vlan access-lists, но там можно заблокировать нужный mac целиком в влане, а мне то нужно заблокировать только кадры с src mac идущие с определенных портов, иначе я заблокирую мак браса и отрублю всем интернет...

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "catalyst 3550 и ограничение по src-mac"  +/
Сообщение от EvgenD (ok) on 08-Фев-10, 12:37 
>Все вроде бы? Ан нет... mac access-group работает ТОЛЬКО для НЕ ip
>трафика (по документации и согласно моим экспериментам).

Разве? Что то у меня не так было, когда по ошибке добавил не тот mac.
А вообще делал так. Не понравилось только то что поставить логирование на как на IP access-list нельзя.    
mac access-list extended sacz
deny   host xxxx.xxxx.xxxx any
....
permit any any

interface GigabitEthernet1/0/6
switchport access vlan 201
switchport mode access
mac access-group sacz in

interface Vlan201
ip address x.x.x.x
ip access-group LabnetIn in
ip access-group LabnetOut out

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "catalyst 3550 и ограничение по src-mac"  +/
Сообщение от zelyukin (ok) on 08-Фев-10, 14:35 
Спасибо за ответ!

Но mac access-group все же действует только на не IP трафик, в вашем случае просто не может отработать arp и клиент теряет связь, но его кадры пройдут дальше по влану и могут навредить табличкам mac/port этого и других (по пути следования) каталистов. Вот как с этим бороться?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "catalyst 3550 и ограничение по src-mac"  +/
Сообщение от chocholl email(??) on 09-Фев-10, 08:13 
попробуйте задать статикой связку mac - интерфейс для наиболее критичных адресов в сети.
при имеющейся статической записи каталист не делает лерн на мак прилетевшего пакета из юзер порта.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру