Blockieren von ARP-Paketen unter Verwendung von MAC Access Lists und VLAN Access Maps auf Catalyst Switches der Serien 2970, 3550, 3560 und 3750

Download-Optionen

  • PDF     (274.1 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (95.2 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (83.6 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:25. April 2016
Dokument-ID:64844

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird die Konfiguration für einen Cisco Catalyst Switch der Serie 3550 erläutert. Sie können in diesem Szenario jeden beliebigen Catalyst Switch der Serie 2970, 3560 oder 3750 verwenden, um die gleichen Ergebnisse zu erhalten. In diesem Dokument wird veranschaulicht, wie eine MAC Access Control List (ACL) konfiguriert wird, um die Kommunikation zwischen Geräten innerhalb eines VLAN zu blockieren. Je nach Hersteller der Netzwerkkarte (NIC) des Hosts können Sie einen einzelnen Host oder mehrere Hosts blockieren. Sie können eine Reihe von Hosts blockieren, wenn Sie Address Resolution Protocol (ARP)-Pakete, die von diesen Geräten stammen, auf Basis der IEEE Organizational Unique Identifier (OUI)- und Company_ID-Zuweisungen deaktivieren.

In einem Netzwerk können Sie ARP-Anforderungspakete blockieren, um den Benutzerzugriff zu beschränken. In einigen Netzwerkszenarien möchten Sie ARP-Pakete nicht basierend auf der IP-Adresse, sondern auf den Layer-2-MAC-Adressen blockieren. Diese Art von Einschränkung lässt sich erreichen, wenn Sie ACLs mit MAC-Adressen und VLAN-Zugriffszuordnungen erstellen und diese auf eine VLAN-Schnittstelle anwenden.

Voraussetzungen

Anforderungen

Um die Zuweisungen für IEEE-OUI und Company_ID zu bestimmen, lesen Sie die Hinweise zu IEEE-OUI und Company_IDicon_popup_short.gif.

Verwendete Komponenten

Die Informationen in diesem Dokument beziehen sich auf den Cisco Catalyst Switch der Serie 3550.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Verwandte Produkte

Weitere Switches, die die Befehle in dieser Konfiguration unterstützen, sind Catalyst Switches der Serien 2970, 3560 oder 3750.

Konfigurieren

In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.

Um die MAC-Adressfilterung zu konfigurieren und auf die VLAN-Schnittstelle anzuwenden, müssen Sie mehrere Schritte ausführen. Zunächst erstellen Sie VLAN-Zugangspläne für jeden Verkehrstyp, der gefiltert werden muss. Sie wählen eine oder mehrere zu sperrende MAC-Adressen aus. Sie müssen auch den ARP-Datenverkehr in der Zugriffsliste identifizieren. Gemäß RFC 826icon_popup_short.gifverwendet ein ARP-Frame den Ethernet-Protokolltyp 0x806. Sie können diesen Protokolltyp als interessanten Datenverkehr für die Zugriffsliste filtern.

  1. Erstellen Sie im globalen Konfigurationsmodus eine benannte erweiterte MAC-Zugriffsliste mit dem Namen ARP_Packet.

    Geben Sie den Befehl mac access-list extended ACL_name ein, und fügen Sie die MAC-Adresse(n) des Hosts hinzu, die Sie blockieren möchten.

    Switch(config)#mac access-list extended ARP_Packet
Switch(config-ext-nacl)#permit host 0000.861f.3745 host 0006.5bd8.8c2f 0x806 0x0
Switch(config-ext-nacl)#end
Switch(config)#

  2. Geben Sie den Befehl vlan access-map name und den Befehl action drop ein.

    Der Befehl vlan access-map map_name verwendet die erstellte MAC-Zugriffsliste, um ARP-Datenverkehr von den Hosts zu blockieren.

    Switch(config)#vlan access-map block_arp 10

Switch (config-access-map)#action drop
Switch (config-access-map)#match mac address ARP_Packet

  3. Fügen Sie der gleichen VLAN-Zugriffszuordnung eine zusätzliche Leitung hinzu, um den restlichen Datenverkehr weiterzuleiten.

    Switch(config)#vlan access-map block_arp 20
Switch (config-access-map)#action forward

  4. Wählen Sie eine VLAN-Zugriffszuordnung aus, und wenden Sie sie auf eine VLAN-Schnittstelle an.

    Geben Sie den Befehl VLAN-Filter vlan_access_map_name vlan-list vlan_number ein.

    Switch(config)#vlan filter block_arp vlan-list 2

Konfigurationsbeispiel

Bei dieser Beispielkonfiguration werden drei MAC-Zugriffslisten und drei VLAN-Zugangspläne erstellt. Bei der Konfiguration wird die dritte VLAN-Zugriffszuordnung auf die VLAN-Schnittstelle 2 angewendet.

3550-Switch 
mac access-list extended ARP_Packet
permit host 0000.861f.3745 host 0006.5bd8.8c2f 0x806 0x0

!--- This blocks communication between hosts with this MAC.

!
mac access-list extended ARP_ONE_OUI
permit 0000.8600.0000 0000.00ff.ffff any 0x806 0x0

!--- This blocks any ARP packet that originates from this vendor OUI.

!
mac access-list extended ARP_TWO_OUI
permit 0000.8600.0000 0000.00ff.ffff any 0x806 0x0
permit 0006.5b00.0000 0000.00ff.ffff any 0x806 0x0

!--- This blocks any ARP packet that originates from these two vendor OUIs.

!
vlan access-map block_arp 10
action drop
match mac address ARP_Packet
vlan access-map block_arp 20
action forward


vlan access-map block_one_oui 10
action drop
match mac address ARP_ONE_OUI
vlan access-map block_one_oui 20
action forward


vlan access-map block_two_oui 10
action drop
match mac address ARP_TWO_OUI
vlan access-map block_two_oui 20
action forward


!
vlan filter block_two_oui vlan-list 2

!--- This applies the MAC ACL name “block_two_oui” to VLAN 2.

Überprüfung

Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Sie können überprüfen, ob der Switch die MAC-Adresse oder den ARP-Eintrag erkannt hat, bevor Sie die MAC-Zugriffskontrollliste anwenden. Geben Sie den Befehl show mac-address-table ein, wie im Beispiel gezeigt.

Der Cisco CLI Analyzer (nur registrierte Kunden) unterstützt bestimmte show-Befehle. Verwenden Sie den CLI Analyzer, um eine Analyse der Ausgabe des Befehls show anzuzeigen.

switch#show mac-address-table dynamic vlan 2
          Mac Address Table
-------------------------------------------

Vlan   Mac Address   Type       Ports
----   -----------   --------   -----
   2  0000.861f.3745 DYNAMIC    Fa0/21
   2  0006.5bd8.8c2f DYNAMIC    Fa0/22
Total Mac Addresses for this criterion: 2

switch#show ip arp
Protocol  Address   Age (min)  Hardware Addr   Type  Interface
Internet  10.1.1.2         26  0000.861f.3745  ARPA  Vlan2
Internet  10.1.1.3         21  0006.5bd8.8c2f  ARPA  Vlan2
Internet  10.1.1.1          -  000d.65b6.9700  ARPA  Vlan2

Fehlerbehebung

Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.

Zugehörige Informationen

TAC Authored

Beiträge von Cisco Ingenieuren

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren