Einleitung
In diesem Dokument wird die Konfiguration für einen Cisco Catalyst Switch der Serie 3550 erläutert. Sie können in diesem Szenario jeden beliebigen Catalyst Switch der Serie 2970, 3560 oder 3750 verwenden, um die gleichen Ergebnisse zu erhalten. In diesem Dokument wird veranschaulicht, wie eine MAC Access Control List (ACL) konfiguriert wird, um die Kommunikation zwischen Geräten innerhalb eines VLAN zu blockieren. Je nach Hersteller der Netzwerkkarte (NIC) des Hosts können Sie einen einzelnen Host oder mehrere Hosts blockieren. Sie können eine Reihe von Hosts blockieren, wenn Sie Address Resolution Protocol (ARP)-Pakete, die von diesen Geräten stammen, auf Basis der IEEE Organizational Unique Identifier (OUI)- und Company_ID-Zuweisungen deaktivieren.
In einem Netzwerk können Sie ARP-Anforderungspakete blockieren, um den Benutzerzugriff zu beschränken. In einigen Netzwerkszenarien möchten Sie ARP-Pakete nicht basierend auf der IP-Adresse, sondern auf den Layer-2-MAC-Adressen blockieren. Diese Art von Einschränkung lässt sich erreichen, wenn Sie ACLs mit MAC-Adressen und VLAN-Zugriffszuordnungen erstellen und diese auf eine VLAN-Schnittstelle anwenden.
Voraussetzungen
Anforderungen
Um die Zuweisungen für IEEE-OUI und Company_ID zu bestimmen, lesen Sie die Hinweise zu IEEE-OUI und Company_ID
.
Verwendete Komponenten
Die Informationen in diesem Dokument beziehen sich auf den Cisco Catalyst Switch der Serie 3550.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Verwandte Produkte
Weitere Switches, die die Befehle in dieser Konfiguration unterstützen, sind Catalyst Switches der Serien 2970, 3560 oder 3750.
Konfigurieren
In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.
Um die MAC-Adressfilterung zu konfigurieren und auf die VLAN-Schnittstelle anzuwenden, müssen Sie mehrere Schritte ausführen. Zunächst erstellen Sie VLAN-Zugangspläne für jeden Verkehrstyp, der gefiltert werden muss. Sie wählen eine oder mehrere zu sperrende MAC-Adressen aus. Sie müssen auch den ARP-Datenverkehr in der Zugriffsliste identifizieren. Gemäß RFC 826
verwendet ein ARP-Frame den Ethernet-Protokolltyp 0x806. Sie können diesen Protokolltyp als interessanten Datenverkehr für die Zugriffsliste filtern.
-
Erstellen Sie im globalen Konfigurationsmodus eine benannte erweiterte MAC-Zugriffsliste mit dem Namen ARP_Packet.
Geben Sie den Befehl mac access-list extended ACL_name ein, und fügen Sie die MAC-Adresse(n) des Hosts hinzu, die Sie blockieren möchten.
Switch(config)#mac access-list extended ARP_Packet
Switch(config-ext-nacl)#permit host 0000.861f.3745 host 0006.5bd8.8c2f 0x806 0x0
Switch(config-ext-nacl)#end
Switch(config)#
-
Geben Sie den Befehl vlan access-map name und den Befehl action drop ein.
Der Befehl vlan access-map map_name verwendet die erstellte MAC-Zugriffsliste, um ARP-Datenverkehr von den Hosts zu blockieren.
Switch(config)#vlan access-map block_arp 10
Switch (config-access-map)#action drop
Switch (config-access-map)#match mac address ARP_Packet
-
Fügen Sie der gleichen VLAN-Zugriffszuordnung eine zusätzliche Leitung hinzu, um den restlichen Datenverkehr weiterzuleiten.
Switch(config)#vlan access-map block_arp 20
Switch (config-access-map)#action forward
-
Wählen Sie eine VLAN-Zugriffszuordnung aus, und wenden Sie sie auf eine VLAN-Schnittstelle an.
Geben Sie den Befehl VLAN-Filter vlan_access_map_name vlan-list vlan_number ein.
Switch(config)#vlan filter block_arp vlan-list 2
Konfigurationsbeispiel
Bei dieser Beispielkonfiguration werden drei MAC-Zugriffslisten und drei VLAN-Zugangspläne erstellt. Bei der Konfiguration wird die dritte VLAN-Zugriffszuordnung auf die VLAN-Schnittstelle 2 angewendet.
3550-Switch |
mac access-list extended ARP_Packet
permit host 0000.861f.3745 host 0006.5bd8.8c2f 0x806 0x0
!--- This blocks communication between hosts with this MAC.
!
mac access-list extended ARP_ONE_OUI
permit 0000.8600.0000 0000.00ff.ffff any 0x806 0x0
!--- This blocks any ARP packet that originates from this vendor OUI.
!
mac access-list extended ARP_TWO_OUI
permit 0000.8600.0000 0000.00ff.ffff any 0x806 0x0
permit 0006.5b00.0000 0000.00ff.ffff any 0x806 0x0
!--- This blocks any ARP packet that originates from these two vendor OUIs.
!
vlan access-map block_arp 10
action drop
match mac address ARP_Packet
vlan access-map block_arp 20
action forward
vlan access-map block_one_oui 10
action drop
match mac address ARP_ONE_OUI
vlan access-map block_one_oui 20
action forward
vlan access-map block_two_oui 10
action drop
match mac address ARP_TWO_OUI
vlan access-map block_two_oui 20
action forward
!
vlan filter block_two_oui vlan-list 2
!--- This applies the MAC ACL name “block_two_oui” to VLAN 2.
|
Überprüfung
Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.
Sie können überprüfen, ob der Switch die MAC-Adresse oder den ARP-Eintrag erkannt hat, bevor Sie die MAC-Zugriffskontrollliste anwenden. Geben Sie den Befehl show mac-address-table ein, wie im Beispiel gezeigt.
Der Cisco CLI Analyzer (nur registrierte Kunden) unterstützt bestimmte show-Befehle. Verwenden Sie den CLI Analyzer, um eine Analyse der Ausgabe des Befehls show anzuzeigen.
switch#show mac-address-table dynamic vlan 2
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
2 0000.861f.3745 DYNAMIC Fa0/21
2 0006.5bd8.8c2f DYNAMIC Fa0/22
Total Mac Addresses for this criterion: 2
switch#show ip arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 10.1.1.2 26 0000.861f.3745 ARPA Vlan2
Internet 10.1.1.3 21 0006.5bd8.8c2f ARPA Vlan2
Internet 10.1.1.1 - 000d.65b6.9700 ARPA Vlan2
Fehlerbehebung
Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.
Zugehörige Informationen