Commutateurs : Commutateurs Cisco Catalyst, s�rie 3750

Bloquer les paquets ARP à l'aide de listes d'accès MAC et de mappages d'accès VLAN sur les commutateurs des gammes Catalyst 2970, 3550, 3560 et 3750

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (6 octobre 2015) | Commentaires


Contenu


Introduction

Dans un réseau, vous pouvez bloquer des paquets de requête de Protocole de résolution d'adresse (ARP) pour restreindre l'accès utilisateur. Dans quelques scénarios de réseau, vous voulez bloquer des paquets d'ARP basés, pas sur l'adresse IP, mais sur le MAC de la couche 2 addresses.ÝYou peut accomplir ce type de restriction si vous créez des cartes de Listes de contrôle d'accès (ACL) d'adresse MAC et d'accès VLAN et les appliquez à une interface VLAN.

Ce document discute de la configuration pour un commutateur de la gamme Cisco Catalyst 3550. Vous pouvez utiliser n'importe quel commutateur des gammes Catalyst 2970, 3560 ou 3750 dans ce scénario afin d'obtenir les mêmes résultats. Le document explique comment configurer un ACL de MAC pour bloquer la transmission parmi des périphériques dans un VLAN.ÝYou peut bloquer un seul hôte ou une plage des hôtes, basée sur le fabricant d'adaptateur de la carte d'interface de réseau hôte (NIC). Vous pouvez bloquer une plage des hôtes si vous rejetez les paquets d'ARP qui proviennent de ces périphériques basés sur l'identifiant unique d'organisation d'IEEE (OUI) et le company_id assignments.Ý

Conditions préalables

Conditions requises

Consultez Affectations company_id et OUI IEEE afin de déterminer les affectations company_id et OUI IEEE.leavingcisco.com

Composants utilisés

Les informations contenues dans ce document sont basées sur le commutateur Cisco Catalyst 3550.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Produits connexes

D'autres commutateurs qui prennent en charge les commandes dans cette configuration incluent :

  • Catalyst Ý2970, 3560, ou Commutateurs de gamme 3750

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Afin de configurer le filtrage des adresses MAC et de l'appliquer à l'interface VLAN, vous devez réaliser plusieurs étapes. D'abord, vous créez les mappages d'accès VLAN pour chaque type de trafic qui requiert un filtrage. Vous sélectionnez une adresse MAC ou un éventail d'adresses MAC à bloquer. Vous devez également identifier le trafic ARP dans la liste d'accès. Selon la RFC 826 , une trame ARP utilise le type de protocole Ethernet de valeur 0x806.leavingcisco.com Vous pouvez filtrer selon ce type de protocole comme trafic intéressant pour la liste d'accès.

  1. Dans le mode de configuration globale, créez une liste d'accès étendue MAC nommée avec le nom ARP_Packet.

    Lancez la commande mac access-list extended ACL_name et ajoutez l'adresse MAC hôte ou les adresses que vous voulez bloquer.

    Switch(config)#mac access-list extended ARP_Packet
    Switch(config-ext-nacl)#permit host 0000.861f.3745 host 0006.5bd8.8c2f 0x806 0x0
    Switch(config-ext-nacl)#end
    Switch(config)#
  2. Lancez la commande vlan access-map map_ name et la commande action drop, qui est l'action à effectuer.

    La commande vlan access-map map_ name utilise la liste d'accès MAC que vous avez créé pour bloquer le trafic ARP provenant des hôtes.

    Switch(config)#vlan access-map block_arp 10
    
    Switch (config-access-map)#action drop
    Switch (config-access-map)#match mac address ARP_Packet
    
  3. Ajoutez une ligne supplémentaire au même mappage d'accès VLAN afin de transférer le reste du trafic.

    Switch(config)#vlan access-map block_arp 20
    Switch (config-access-map)#action forward
    
  4. Choisissez un mappage d'accès VLAN et appliquez-le à une interface VLAN.

    Lancez la commande VLAN filter vlan_access_map_name vlan-list vlan_number.

    Switch(config)#vlan filter block_arp vlan-list 2
    

Exemple de configuration

Cet exemple de configuration crée trois listes d'accès MAC et trois mappages d'accès VLAN. La configuration applique le troisième mappage d'accès VLAN à l'interface VLAN 2.

Commutateur 3550
mac access-list extended ARP_Packet
permit host 0000.861f.3745 host 0006.5bd8.8c2f 0x806 0x0

!--- This blocks communication between hosts with this MAC.

!
mac access-list extended ARP_ONE_OUI
permit 0000.8600.0000 0000.00ff.ffff any 0x806 0x0

!--- This blocks any ARP packet that originates from this vendor OUI.

!
mac access-list extended ARP_TWO_OUI
permit 0000.8600.0000 0000.00ff.ffff any 0x806 0x0
permit 0006.5b00.0000 0000.00ff.ffff any 0x806 0x0

!--- This blocks any ARP packet that originates from these two vendor OUIs.

!
vlan access-map block_arp 10
action drop
match mac address ARP_Packet
vlan access-map block_arp 20
action forward


vlan access-map block_one_oui 10
action drop
match mac address ARP_ONE_OUI
vlan access-map block_one_oui 20
action forward


vlan access-map block_two_oui 10
action drop
match mac address ARP_TWO_OUI
vlan access-map block_two_oui 20
action forward


!
vlan filter block_two_oui vlan-list 2

!--- This applies the MAC ACL name “block_two_oui” to VLAN 2.

Vérifiez

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

Vous pouvez vérifier si le commutateur a appris l'adresse MAC ou l'entrée ARP avant d'appliquer l'ACL MAC. Lancez la commande show mac-address-table, comme le montre cet exemple.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

switch#show mac-address-table dynamic vlan 2
ÝÝÝÝÝÝ ÝÝÝÝMac Address Table
-------------------------------------------

VlanÝÝÝ Mac AddressÝÝÝÝÝÝ TypeÝÝÝÝÝÝÝ Ports
----ÝÝÝ -----------ÝÝÝÝÝÝ --------ÝÝÝ -----
ÝÝÝ 2ÝÝÝ 0000.861f.3745ÝÝÝ DYNAMICÝÝÝÝ Fa0/21
ÝÝÝ 2ÝÝÝ 0006.5bd8.8c2fÝÝÝ DYNAMICÝÝÝÝ Fa0/22
Total Mac Addresses for this criterion: 2

switch#show ip arp
ProtocolÝ AddressÝÝÝÝÝÝÝÝÝ Age (min)Ý Hardware AddrÝÝ TypeÝÝ Interface
InternetÝ 10.1.1.2ÝÝÝÝÝÝÝÝÝÝÝÝÝÝ 26ÝÝ 0000.861f.3745Ý ARPAÝÝ Vlan2
InternetÝ 10.1.1.3ÝÝÝÝÝÝÝÝÝÝÝÝÝÝ 21ÝÝ 0006.5bd8.8c2fÝ ARPAÝÝ Vlan2
InternetÝ 10.1.1.1ÝÝÝÝÝÝÝÝÝÝÝÝÝÝÝ -ÝÝ 000d.65b6.9700Ý ARPAÝÝ Vlan2

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 64844