форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение		[ Отслеживать ]

"не работает mac acl"	–1 +/–
Сообщение от Smetana (ok) on 17-Дек-10, 16:09
Добрый день! В процессе работы возникла необходимость воспользоваться acl 2го уровня. Суть в следующем. Есть Catalyst 3750. Необходимо запретить доступ хосту с мак адресом 0017.31bd.7745. Написала следующий acl: mac access-list extended Filtr deny 0017.31bd.7745 any permit any any Назначила его на порт: interface Gi 1/0/1 mac access-group Filtr in И он не работает. Трафик от этого хоста как шел так и идет, никакой фильтрации нет. В чем может быть проблема?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "не работает mac acl"	+/–
Сообщение от aZL on 17-Дек-10, 16:57
mac-address-table static 0017.31bd.7745 vlan 100 drop
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "не работает mac acl"	+/–
	Сообщение от Smetana (ok) on 18-Дек-10, 21:16
	> mac-address-table static 0017.31bd.7745 vlan 100 drop Такой вариант не подходит, если сделать так то трафик будет фильтроваться в обе стороны, а нужно отфильтровать трафик только на входе интерфейса Gi 1/0/1
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "не работает mac acl"	+/–
	Сообщение от aZL on 20-Дек-10, 10:32
	Возможно, ошибка в синтаксисе: mac access-list extended Filtr deny HOST 0017.31bd.7745 any permit any any
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "не работает mac acl"	+/–
	Сообщение от Smetana (ok) on 20-Дек-10, 15:19
	> Возможно, ошибка в синтаксисе: > mac access-list extended Filtr > deny HOST 0017.31bd.7745 any > permit any any У меня ошибка в первом посте, слово HOST в acl присутствует. Правильно будет так: mac access-list extended Filtr deny host 0017.31bd.7745 any permit any any interface Gi 1/0/1 mac access-group Filtr in
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "не работает mac acl"	+/–
	Сообщение от aZL on 20-Дек-10, 15:49
	> Необходимо апретить доступ к хосту... Дык, может тогда всё-таки так: mac access-list extended Filtr deny any host 0017.31bd.7745 permit any any
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "не работает mac acl"	+/–
	Сообщение от Smetana (ok) on 20-Дек-10, 16:03
	>> Необходимо апретить доступ к хосту... > Дык, может тогда всё-таки так: > mac access-list extended Filtr > deny any host 0017.31bd.7745 > permit any any так тоже не подойдет :) нужно отфильтровать кадры в которых мас адрес 0017.31bd.7745 является мас адресом именно источника.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "не работает mac acl"	+/–
	Сообщение от Smetana (ok) on 20-Дек-10, 16:11
	вообще то если есть другое решение как отфильтровать кадры на входе интерфейса gi1/0/1, в поле источника которых содержится mac адрес 0017.31bd.7745 то можно и его попробовать. Port Security не предлагать, количество mac адресов и сами mac адреса постоянно меняются.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "не работает mac acl"	+/–
	Сообщение от aZL on 20-Дек-10, 16:56
	Можно попробовать конструкцию типа: ! !-- Собственно, создаем mac acl -- ! mac access-list extended Filtr deny host 0017.31bd.7745 any permit any any ! !-- Создаем VACL -- ! vlan access−map block_arp 10 action drop match mac address Filtr vlan access−map block_arp 20 action forward ! !--  Применяем на vlan -- ! vlan filter block_arp vlan−list <vlan>
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "не работает mac acl"	+/–
	Сообщение от Smetana (ok) on 20-Дек-10, 17:41
	>[оверквотинг удален] > ! > vlan access−map block_arp 10 >  action drop >  match mac address Filtr > vlan access−map block_arp 20 >  action forward > ! > !--  Применяем на vlan -- > ! > vlan filter block_arp vlan−list <vlan> такой вариант тоже не подойдет, кадры с таким мак адресом поступают и с транкового порта и с аксесовского gi 1/0/1, если применить такой список доступа, то фильтроваться будут и кадры на транковом порту, а нужно только на входе gi 1/0/1
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "не работает mac acl"	+/–
Сообщение от Telesisc on 22-Дек-10, 11:24
попробуйте включить выключить mls qos
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	11. "не работает mac acl"	+/–
	Сообщение от Smetana (ok) on 22-Дек-10, 16:47
	> попробуйте включить выключить > mls qos Какой результат должен быть после включения выключения qos? должен заработать mac acl? как связан qos и mac acl (если не учитывать Service-policy)?
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "не работает mac acl"	+/–
	Сообщение от Myxa (??) on 22-Дек-10, 22:57
	Где-то недавно попалось, что mac acl в подобном исполнении закрывает только не IP-трафик. Как вариант предложил бы вынести решение проблемы через L3, все-таки это L3-коммутатор. Да и никто не мешает жестко привязать мас к ip-address.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	13. "не работает mac acl"	+/–
	Сообщение от Smetana (ok) on 27-Дек-10, 21:47
	> Где-то недавно попалось, что mac acl в подобном исполнении закрывает только не > IP-трафик. > Как вариант предложил бы вынести решение проблемы через L3, все-таки это L3-коммутатор. > Да и никто не мешает жестко привязать мас к ip-address. Вынести решение проблемы за счет определенной организации соединения на третий уровень не могу, а что если статически привязать МАС адрес к транковому порту. По идее на аксесовском порту gi 1/0/1 будут отбрасываться кадры с МАС адресом источника 0017.31bd.7745, а весь остальной трафик пропускаться. mac address-table static 0017.31bd.7745 vlan 200 interface tengigabitethernet2/0/1
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема