Фильтрации по mac на Cisco

[feeman]

Cisco 2960S

Появилась необходимость фильтрации определенного mac-адреса 90f6.525b.a6bc

Вопрос в том как реализовать на Cisco mac фильтрацию, чтоб на 23 порту был доступ а на 22 порту нет? 

 

Дополнительными граблями стал тот факт, что нужны mac светится только на up-link порту (24 порт), хотя по факту этот mac прилетает на 24 порт, а уже далее по внутренней коммутации вылетает с 22 порта на ниже стоящее оборудование.

 

Скрытый текст

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
 All    0100.0ccc.cccc    STATIC      CPU
 All    0100.0ccc.cccd    STATIC      CPU
 All    0180.c200.0000    STATIC      CPU
 All    0180.c200.0001    STATIC      CPU
 All    0180.c200.0002    STATIC      CPU
 All    0180.c200.0003    STATIC      CPU
 All    0180.c200.0004    STATIC      CPU
 All    0180.c200.0005    STATIC      CPU
 All    0180.c200.0006    STATIC      CPU
 All    0180.c200.0007    STATIC      CPU
 All    0180.c200.0008    STATIC      CPU
 All    0180.c200.0009    STATIC      CPU
 All    0180.c200.000a    STATIC      CPU
 All    0180.c200.000b    STATIC      CPU
 All    0180.c200.000c    STATIC      CPU
 All    0180.c200.000d    STATIC      CPU
 All    0180.c200.000e    STATIC      CPU
 All    0180.c200.000f    STATIC      CPU
 All    0180.c200.0010    STATIC      CPU
 All    ffff.ffff.ffff    STATIC      CPU
 922    001e.58d2.a402    DYNAMIC     Gi0/1
 922    0025.9033.1362    DYNAMIC     Gi0/1
 922    0030.881d.0d63    DYNAMIC     Gi0/1
 922    0030.881e.00d3    DYNAMIC     Gi0/1
 922    0030.8820.953f    DYNAMIC     Gi0/1
 922    0030.8821.758e    DYNAMIC     Gi0/1
 922    102a.b31c.bdb9    DYNAMIC     Gi0/3
 922    7062.b80d.fdc7    DYNAMIC     Gi0/1
 922    708b.cdee.0094    DYNAMIC     Gi0/4
 922    9094.e400.ad24    DYNAMIC     Gi0/2
 922    cc5d.4ebc.f685    DYNAMIC     Gi0/5
 101    0022.4d7c.dd97    DYNAMIC     Gi0/14
 101    d4ca.6d73.a1ae    DYNAMIC     Gi0/9
   10    000f.e207.f2e0    DYNAMIC     Gi0/24
   10    001f.16fe.bca9    DYNAMIC     Gi0/24
   10    0024.1d7c.8e04    DYNAMIC     Gi0/24
   10    00e0.5312.40c6    DYNAMIC     Gi0/22
   10    04bf.6d03.8a73    DYNAMIC     Gi0/24
   10    04d4.c40f.c088    DYNAMIC     Gi0/24
   10   08c6.b30b.8861    DYNAMIC     Gi0/24
   10    14cc.2087.1011    DYNAMIC     Gi0/24
   10    1831.bf3a.51cc    DYNAMIC     Gi0/24
   10    1c74.0d91.fee9    DYNAMIC     Gi0/24
   10    1c74.0d96.6db9    DYNAMIC     Gi0/24
   10    2828.5d7b.a96d    DYNAMIC     Gi0/24
   10    2828.5d85.0619    DYNAMIC     Gi0/24
   10    2892.4a58.ccce    DYNAMIC     Gi0/24
   10    30b5.c2a7.3b89    DYNAMIC     Gi0/24
   10    3408.04e0.f083    DYNAMIC     Gi0/24
   10    3ce5.a683.63f0    DYNAMIC     Gi0/24
   10    488f.5a30.9813    DYNAMIC     Gi0/24
   10   488f.5a37.5317    DYNAMIC     Gi0/24
   10    488f.5a84.c873    DYNAMIC     Gi0/24
   10    50ff.2005.cb50    DYNAMIC     Gi0/24
   10    50ff.2010.6431    DYNAMIC     Gi0/24
   10    50ff.2014.2df7    DYNAMIC     Gi0/24
   10    5404.a6e6.e4a0    DYNAMIC     Gi0/24
   10    60e3.2751.47c9    DYNAMIC     Gi0/24
   10   6466.b385.b2f1    DYNAMIC     Gi0/24
   10    6c70.9feb.e1f6    DYNAMIC     Gi0/24
   10    744d.281a.4774    DYNAMIC     Gi0/24
   10    7854.2e05.65f9    DYNAMIC     Gi0/24
   10    786a.895d.bd8a    DYNAMIC     Gi0/24
   10    90f6.525b.a6bc    DYNAMIC     Gi0/24
   10    9cd6.435c.a5c6    DYNAMIC     Gi0/24
   10    ac9e.17bb.1c14    DYNAMIC     Gi0/24
   10    acf1.df2c.c285    DYNAMIC     Gi0/24
   10    b869.f4c4.1929    DYNAMIC     Gi0/24
   10    b8a3.865b.c564    DYNAMIC     Gi0/24
   10    c4ad.349b.b990    DYNAMIC     Gi0/24
   10    c4ad.34dc.28cf    DYNAMIC     Gi0/24
   10    c4ad.34f9.6823    DYNAMIC     Gi0/24
   10    c860.00b0.de3c    DYNAMIC     Gi0/24
   10    cc2d.e0da.593a    DYNAMIC     Gi0/24
   10   d4ca.6d73.a1af    DYNAMIC     Gi0/23
   10    e060.6627.d0a5    DYNAMIC     Gi0/24
   10   ec08.6b42.9298    DYNAMIC     Gi0/24
 
 

 

[sol]

http://microsin.net/adminstuff/cisco/port-security.html

или создайте статическую запись для этого MAC.

 

[feeman]

тут вопрос в том, что созданы правила не работают если их повесить на 22 и 23 порт.

т.к. show mac address-table сообщает, что нужный мак светиться только на 24 порту. 

[sol]

Опишите полнее то, что вы хотите сделать.

 

[feeman]

На up-link порт 24 прилетает мас, далее он он вылетает с 22 порта.

Нужно запретить прохождение определенно мака через 22 порт. 

[sol]

Русский не родной да?

Если вы хотите запретить доступ с 22-го порта к хосту, который доступен на 24 порту не запрещая доступ к нему с остальных портов, то ACL выглядит так:

 

mac access-list extended disable_access

  deny any host XXXX.XXXX.XXXX

  permit any any

interface gigabit 0/22

  mac access-group disable_access in

 

Это запретит прохождение трафика с любого MAC на запрещённый XXXX.XXXX.XXXX не смотря на то на 24-м порту он находится или нет.

Если же нужно запретить ПОЛУЧАТЬ трафик от этого MAC на 22 порту, то задача скорее всего не решается, т.к. н.я.з. out фильтры не поддерживаются почти ни на какой платформе.