форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Cisco Catalyst коммутаторы)
Изначальное сообщение		[ Отслеживать ]

"Подскажите по MAC ACL в 2960 каталисте, то работает то нет.."	+/–
Сообщение от qwertyu (ok) on 14-Дек-10, 16:41
имеем  WS-C2960-48TT-L Cisco1>sho ver Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 12.2(44)SE6, REL EASE SOFTWARE (fc1) последняя на сегодняшний день 12.2(55)SE1, поменять смогу вечером но думаю что не поможет На порту 0/1 висит йотовский роутер, на порту 0/2 основной роутер на провайдера в сети есть основные клиенты (К1) 192.168.1.0/24 которые должны ходить ТОЛЬКО через основной роутер и несколько клиентов (К2)10.1.1.0/24 которые должны ходить ТОЛЬКО через йоту причем никогда и ни при каких обстоятельствах эти правила нарушаться не должны. Исходим из того что настройки IP клиент поменять может а МАС не может. ПО хорошему вопрос решается ВЛАНом, но в сети есть еще несколько неуправляемых коммутаторов которые тэгированный трафик порежут. пытаюсь решить вопрос следующим образом: mac access-list extended mac-littel # не дает йотовцам ходеть через осн. шлюз deny   any host 001f.c64a.53e8 deny   any host 001b.fc3e.1c27 deny   any host 0040.cadc.3d8c deny   any host 0016.7616.d1b8 permit any any mac access-list extended mac-yota # не дает основным клиентам лезть на йоту permit host yota.yota.yota host 001f.c64a.53e8 permit host yota.yota.yota host 001b.fc3e.1c27 permit host yota.yota.yota host 0040.cadc.3d8c permit host yota.yota.yota host 0016.7616.d1b8 deny   host yota.yota.yota any и interface FastEthernet0/1 mac access-group mac-yota in ! interface FastEthernet0/2 mac access-group mac-littel in где yota.yota.yota это МАС йотовского роутера, а остальные маки соответственно тех кто обязан ходить только через него. Запускаю постоянный пинг, какоето время все работает (минуты) потом вдруг перестает и какоето время не работает, потом опять работает, в чем дело совершенно непонятно. Пока разбирался нашел что МАС АКЛи не должны влиять на IP трафик, однако же влияют но както не стабильно. Синхронно с поведением пинга ведет себя и нормальный TCP трафик Где рыть?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Подскажите по MAC ACL в 2960 каталисте, то работает то нет.."	+/–
Сообщение от VolanD (ok) on 14-Дек-10, 18:37
> ПО хорошему вопрос решается ВЛАНом, но в сети есть > еще несколько неуправляемых коммутаторов которые тэгированный трафик порежут. Возможно я ошибаюсь, но мне всегда казалось, что VLAN ID находится в области данных. И обычный свитч должен пропускать тегированный фрейм, думая, что через просто проходит фрейм с данными. Или я не прав? Т.е. я к том говорю, что может быть получится все сделать на вланах?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Подскажите по MAC ACL в 2960 каталисте, то работает то нет.."	+/–
	Сообщение от qwertyu (ok) on 15-Дек-10, 10:32
	> Возможно я ошибаюсь, но мне всегда казалось, что VLAN ID находится в > области данных. И обычный свитч должен пропускать тегированный фрейм, думая, что > через просто проходит фрейм с данными. Или я не прав? Т.е. > я к том говорю, что может быть получится все сделать на > вланах? Не получается, пробовал уже. возможно дело в конкретном свиче доступа на котором висит клиент. При схеме клиент - 802.1Q_3СОМ - НЕ_802.1Q_3СОМ - 2960 не работает(( Мне попадалась информация о том что 802.1Q устройство видя что на другом конце стоит НЕ_802.1Q убирает из фрейма тэги, если не ошибаюсь эта информация касалась зухеля, возможно и 3сом так себя ведет. Надо попробовать снифером посмотреть что там происходит и на какой точке маршрута, но то что не заработало - факт.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Подскажите по MAC ACL в 2960 каталисте, то работает то нет.."	+/–
	Сообщение от ddenia (??) on 04-Июл-13, 12:26
	>[оверквотинг удален] >> через просто проходит фрейм с данными. Или я не прав? Т.е. >> я к том говорю, что может быть получится все сделать на >> вланах? > Не получается, пробовал уже. возможно дело в конкретном свиче доступа на котором > висит клиент. При схеме клиент - 802.1Q_3СОМ - НЕ_802.1Q_3СОМ - 2960 > не работает(( Мне попадалась информация о том что 802.1Q устройство видя > что на другом конце стоит НЕ_802.1Q убирает из фрейма тэги, если > не ошибаюсь эта информация касалась зухеля, возможно и 3сом так себя > ведет. Надо попробовать снифером посмотреть что там происходит и на какой > точке маршрута, но то что не заработало - факт. MAC ACL, также известный как Ethernet ACL предназначен для фильтрации non-IP трафика на VLAN или физических интерфейсах Layer 2 используя MAC адреса в именованном расширенном MAC extended ACL. Шаги по конфигурации MAC ACL подобны обычным именованным расширенным ACL. MAC ACL могут применяться только для фильтрации входящего трафика. Для определения MAC Extended ACL используется команда mac access-list extended. После того, как MAC ACL будет создан, его необходимо наложить на интерфейс Layer 2 используя команду mac access-group [acl-name] in. В примере ниже  показано, как создать и применить MAC ACL для блокировки определенного MAC адреса, пропуская остальной трафик. Switch# Switch(config)#mac access-list extended ban_mac Switch(config-ext-macl)#deny host 0015.1729.890a any Switch(config-ext-macl)#permit any any Switch(config-ext-macl)# exit Switch(config-if)#interface gigabit 0/15 Switch(config-if)#mac access-group ban_mac in Switch(config-if)#end Switch# http://it-admin.org/cisco-systems/mac-acl-na-cisco-catalyst....
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема