Jump to content

непонятки с mac access-list на кошке

disappointed
 Share

Recommended Posts

disappointed

disappointed

Posted
Posted

свитч 2960.

 

есть ацл.

c2960#show access-lists test

Extended MAC access list test

deny host 0017.9a09.c11d any

permit any any

 

вот тестируемый порт

 

!

interface FastEthernet0/5

storm-control broadcast level 5.00 1.00

storm-control multicast level 10.00

mac access-group test in

no cdp enable

!

 

За портом стоит положим некая железяка, и именно её мак 0017.9a09.c11d.

 

Эксперименты показали что фактически этот acl блокирует всего лишь арп реплаи от неё. То есть пинг до неё держится некторое время через свитч после установки ацла, после чего по мере устаревания мака по aging-time в таблице операционки при очередном реквесте его не удаётся получить.

И как бы пропадает пинг конечно. Содавая иллюзию что всё заблокировано.

 

Но. Если прописать его статически руками. Ну вскажем на винде arp -s 192,168,1,1 00-17-9a-09-c1-1d

то снова можно общаться с заблокированной железякой "сквозь" стоящий acl.

 

Это фича или что?? Мне нужно полностью дропнуть эзер фреймы с маком 0017.9a09.c11d на ингресс указанного порта.

Nailer

Nailer

Posted
Posted
свитч 2960.

 

есть ацл.

c2960#show access-lists test

Extended MAC access list test

deny host 0017.9a09.c11d any

permit any any

 

вот тестируемый порт

 

!

interface FastEthernet0/5

storm-control broadcast level 5.00 1.00

storm-control multicast level 10.00

mac access-group test in

no cdp enable

!

 

За портом стоит положим некая железяка, и именно её мак 0017.9a09.c11d.

 

Эксперименты показали что фактически этот acl блокирует всего лишь арп реплаи от неё. То есть пинг до неё держится некторое время через свитч после установки ацла, после чего по мере устаревания мака по aging-time в таблице операционки при очередном реквесте его не удаётся получить.

И как бы пропадает пинг конечно. Содавая иллюзию что всё заблокировано.

 

Но. Если прописать его статически руками. Ну вскажем на винде arp -s 192,168,1,1 00-17-9a-09-c1-1d

то снова можно общаться с заблокированной железякой "сквозь" стоящий acl.

 

Это фича или что?? Мне нужно полностью дропнуть эзер фреймы с маком 0017.9a09.c11d на ингресс указанного порта.

Фича.

mac-access-list обрабатывает только НЕ IP-траффик.

 

Используйте обычный access-list и фильтруйте по IP.

desperado

desperado

Posted
Posted (edited)
Шокирован.

Хм, никто на ацл не вешал сотни полторы ip?

Как свитч себя после этого чувствует?

смотри хардварные ограничения на ацл. пока не превышены, разницы в скорости не будет. полторы сотни на свитч - нормально.

 

вообще на кошках очень часто IP трафик выделен. это не только в акцесс-листах!

Edited by desperado
igoriii

igoriii

Posted
Posted

на 3550

 

#sh sdm prefer

The current template is the default extended-match template.

The selected template optimizes the resources in

the switch to support this level of features for

8 routed interfaces and 1K VLANs.

 

number of unicast mac addresses: 5K

number of igmp groups: 1K

number of qos aces: 1K

number of security aces: 1K

number of unicast routes: 4K

number of multicast routes: 1K

 

- это коммутатор может обработать на уровне железа

 

ACEs это Access Control List Entries

IvanI

IvanI

Posted
Posted

смотрю ща на своего снятого кошака:

DGW#sh sdm prefer
The current template is the default template.
The selected template optimizes the resources in
the switch to support this level of features for
8 routed interfaces and 1K VLANs.

number of unicast mac addresses:   5K
number of igmp groups:             1K
number of qos aces:                1K
number of security aces:           1K
number of unicast routes:          8K
number of multicast routes:        1K

 

а загнулся он ок 1К клиентов, во всех акл в сумме было строк 30...

igoriii

igoriii

Posted
Posted

для того чтобы acl аппаратно обрабатывались должны выполняться несколько условий

 

в acl не должно быть log и на интерфейсах должно быть no ip unreachables

 

иначе обработка идёт процом

edwin

edwin

Posted
Posted

2disappointed:

Для реализации ф-и ограничения ВСЕГО трафика только по макам, можно заюзать ф-ю port security ... выглядеть будет промерно так:

 

switchport port-security maximum 4

switchport port-security

switchport port-security aging time 5

switchport port-security violation restrict

switchport port-security aging type inactivity

switchport port-security mac-address 0000.2124.XXXX

switchport port-security mac-address 0011.2f3d.XXXX

switchport port-security mac-address 0013.d4ad.XXXX

switchport port-security mac-address 0015.581e.XXXX

 

И будет пропускать трафик ТОЛЬКО это вышеприведенных маков .... так сказать и волки сыты и овцы целы.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.