소개
이 문서에서는 Cisco Catalyst 3550 Series 스위치의 컨피그레이션에 대해 설명합니다. 이 시나리오에서는 Catalyst 2970, 3560 또는 3750 Series 스위치를 사용하여 동일한 결과를 얻을 수 있습니다. 이 문서에서는 VLAN 내의 디바이스 간 통신을 차단하기 위해 MAC ACL(Access Control List)을 구성하는 방법을 설명합니다. 호스트 NIC(Network Interface Card) 어댑터 제조업체에 따라 단일 호스트 또는 호스트 범위를 차단할 수 있습니다. IEEE OUI(Organizational Unique Identifier) 및 company_id 할당을 기반으로 이러한 디바이스에서 시작되는 ARP(Address Resolution Protocol) 패킷을 허용하지 않을 경우 호스트 범위를 차단할 수 있습니다.
네트워크에서 ARP 요청 패킷을 차단하여 사용자 액세스를 제한할 수 있습니다. 일부 네트워크 시나리오에서는 IP 주소가 아니라 레이어 2 MAC 주소를 기반으로 ARP 패킷을 차단하고자 합니다. MAC 주소 ACL과 VLAN 액세스 맵을 만들고 VLAN 인터페이스에 적용할 경우 이러한 제한 유형을 수행할 수 있습니다.
사전 요구 사항
요구 사항
IEEE OUI 및 company_id 할당을
결정하려면 IEEE OUI 및 Company_id 할당을 참조하십시오.
사용되는 구성 요소
이 문서의 정보는 Cisco Catalyst 3550 스위치를 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
관련 제품
이 컨피그레이션의 명령을 지원하는 다른 스위치로는 Catalyst 2970, 3560 또는 3750 Series 스위치가 있습니다.
구성
이 섹션에는 이 문서에서 설명하는 기능을 구성하기 위한 정보가 표시됩니다.
MAC 주소 필터링을 구성하고 이를 VLAN 인터페이스에 적용하려면 몇 가지 단계를 완료해야 합니다. 먼저, 필터링해야 하는 각 트래픽 유형에 대한 VLAN 액세스 맵을 생성합니다. 차단할 MAC 주소 또는 MAC 주소 범위를 선택합니다. 또한 액세스 목록에서 ARP 트래픽을 식별해야 합니다. RFC 826에 따라
ARP 프레임은 0x806 값의 이더넷 프로토콜 유형을 사용합니다. 이 프로토콜 유형을 액세스 목록에 대한 관심 트래픽으로 필터링할 수 있습니다.
-
전역 컨피그레이션 모드에서 이름이 ARP_Packet인 명명된 MAC 확장 액세스 목록을 생성합니다.
mac access-list extended ACL_name 명령을 입력하고 차단할 호스트 MAC 주소를 추가합니다.
Switch(config)#mac access-list extended ARP_Packet
Switch(config-ext-nacl)#permit host 0000.861f.3745 host 0006.5bd8.8c2f 0x806 0x0
Switch(config-ext-nacl)#end
Switch(config)#
-
vlan access-map map_ name 명령 및 수행할 작업인 action drop 명령을 입력합니다.
vlan access-map map_ name 명령은 생성한 MAC 액세스 목록을 사용하여 호스트의 ARP 트래픽을 차단합니다.
Switch(config)#vlan access-map block_arp 10
Switch (config-access-map)#action drop
Switch (config-access-map)#match mac address ARP_Packet
-
나머지 트래픽을 전달하려면 동일한 VLAN 액세스 맵에 다른 라인을 추가합니다.
Switch(config)#vlan access-map block_arp 20
Switch (config-access-map)#action forward
-
VLAN 액세스 맵을 선택하고 VLAN 인터페이스에 적용합니다.
VLAN filter vlan_access_map_name vlan-list vlan_number 명령을 입력합니다.
Switch(config)#vlan filter block_arp vlan-list 2
샘플 설정
이 샘플 컨피그레이션에서는 3개의 MAC 액세스 목록과 3개의 VLAN 액세스 맵을 생성합니다. 컨피그레이션은 세 번째 VLAN 액세스 맵을 VLAN 인터페이스 2에 적용합니다.
3550 스위치 |
mac access-list extended ARP_Packet
permit host 0000.861f.3745 host 0006.5bd8.8c2f 0x806 0x0
!--- This blocks communication between hosts with this MAC.
!
mac access-list extended ARP_ONE_OUI
permit 0000.8600.0000 0000.00ff.ffff any 0x806 0x0
!--- This blocks any ARP packet that originates from this vendor OUI.
!
mac access-list extended ARP_TWO_OUI
permit 0000.8600.0000 0000.00ff.ffff any 0x806 0x0
permit 0006.5b00.0000 0000.00ff.ffff any 0x806 0x0
!--- This blocks any ARP packet that originates from these two vendor OUIs.
!
vlan access-map block_arp 10
action drop
match mac address ARP_Packet
vlan access-map block_arp 20
action forward
vlan access-map block_one_oui 10
action drop
match mac address ARP_ONE_OUI
vlan access-map block_one_oui 20
action forward
vlan access-map block_two_oui 10
action drop
match mac address ARP_TWO_OUI
vlan access-map block_two_oui 20
action forward
!
vlan filter block_two_oui vlan-list 2
!--- This applies the MAC ACL name “block_two_oui” to VLAN 2.
|
다음을 확인합니다.
구성이 올바르게 작동하는지 확인하려면 이 섹션을 활용하십시오.
MAC ACL을 적용하기 전에 스위치에서 MAC 주소 또는 ARP 항목을 학습했는지 확인할 수 있습니다. 이 예에서 보여주는 것처럼 show mac-address-table 명령을 입력합니다.
Cisco CLI Analyzer(등록 고객만 해당)는 특정 show 명령을 지원합니다. show 명령 출력 분석을 보려면 CLI Analyzer를 사용합니다.
switch#show mac-address-table dynamic vlan 2
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
2 0000.861f.3745 DYNAMIC Fa0/21
2 0006.5bd8.8c2f DYNAMIC Fa0/22
Total Mac Addresses for this criterion: 2
switch#show ip arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 10.1.1.2 26 0000.861f.3745 ARPA Vlan2
Internet 10.1.1.3 21 0006.5bd8.8c2f ARPA Vlan2
Internet 10.1.1.1 - 000d.65b6.9700 ARPA Vlan2
문제 해결
현재 이 설정에 사용할 수 있는 특정 문제 해결 정보가 없습니다.
관련 정보