Introdução
Este documento discute a configuração para um Cisco Catalyst 3550 Series Switch. Você pode utilizar qualquer Catalyst 2970, 3560 ou 3750 Series Switch neste cenário para obter os mesmos resultados. O documento demonstra como configurar uma lista de controle de acesso (ACL) MAC para bloquear a comunicação entre dispositivos dentro de uma VLAN. Você pode bloquear um host único ou um intervalo de hosts com base no fabricante do adaptador da placa de interface de rede (NIC) do host. Você pode bloquear um intervalo de hosts se não permitir pacotes ARP (Address Resolution Protocol) que se originem desses dispositivos com base nas atribuições OUI (Organizational Unique Identifier) e company_id do IEEE.
Em uma rede, você pode bloquear pacotes de solicitação ARP para restringir o acesso do usuário. Em alguns cenários de rede, você deseja bloquear os pacotes ARP baseados não no endereço IP, mas nos endereços MAC da camada 2. Você pode realizar esse tipo de restrição se criar ACLs de endereço MAC e mapas de acesso de VLAN e aplicá-los a uma interface de VLAN.
Pré-requisitos
Requisitos
Consulte OUI e Atribuições de Company_id do IEEE para determinar o OUI e atribuições de company_id do IEEE.
Componentes Utilizados
As informações neste documento baseiam-se no Cisco Catalyst 3550 Switch.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Produtos Relacionados
Outros switches que suportam os comandos nesta configuração incluem os switches Catalyst das séries 2970, 3560 ou 3750.
Configurar
Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.
Para configurar a filtragem de endereços MAC e aplicá-la à interface de VLAN, você deve concluir vários passos. Primeiro, você cria os mapas de acesso de VLAN para cada tipo de tráfego que deve ser filtrado. Você seleciona um endereço MAC ou um intervalo de endereços MAC para bloqueio. Você também precisa identificar o tráfego ARP na lista de acessos. De acordo com o RFC 826
, um quadro ARP usa o tipo de protocolo Ethernet de valor 0x806. Você pode filtrar esse tipo de protocolo como tráfego interessante para a lista de acesso.
-
No modo de configuração global, crie uma lista de acesso estendida nomeada MAC com o nome ARP_Packet.
Insira o comando mac access-list extended ACL_name e adicione o endereço MAC do host ou os endereços que deseja bloquear.
Switch(config)#mac access-list extended ARP_Packet
Switch(config-ext-nacl)#permit host 0000.861f.3745 host 0006.5bd8.8c2f 0x806 0x0
Switch(config-ext-nacl)#end
Switch(config)#
-
Insira o comando vlan access-map map_ name e o comando action drop, que é a ação a ser executada.
O comando vlan access-map map_ name usa a lista de acesso de MAC que você criou para bloquear o tráfego ARP dos hosts.
Switch(config)#vlan access-map block_arp 10
Switch (config-access-map)#action drop
Switch (config-access-map)#match mac address ARP_Packet
-
Adicione uma linha extra ao mesmo mapa do acesso de VLAN para encaminhar o resto do tráfego.
Switch(config)#vlan access-map block_arp 20
Switch (config-access-map)#action forward
-
Escolha um mapa de acesso de VLAN e aplique-o a uma interface de VLAN.
Insira o comando VLAN filter vlan_access_map_name vlan-list vlan_number .
Switch(config)#vlan filter block_arp vlan-list 2
Configuração de exemplo
Esta configuração de exemplo cria três listas de acessos de MAC e três mapas de acesso de VLAN. A configuração aplica o terceiro mapa do acesso de VLAN à interface de VLAN 2.
3550 Switch |
mac access-list extended ARP_Packet
permit host 0000.861f.3745 host 0006.5bd8.8c2f 0x806 0x0
!--- This blocks communication between hosts with this MAC.
!
mac access-list extended ARP_ONE_OUI
permit 0000.8600.0000 0000.00ff.ffff any 0x806 0x0
!--- This blocks any ARP packet that originates from this vendor OUI.
!
mac access-list extended ARP_TWO_OUI
permit 0000.8600.0000 0000.00ff.ffff any 0x806 0x0
permit 0006.5b00.0000 0000.00ff.ffff any 0x806 0x0
!--- This blocks any ARP packet that originates from these two vendor OUIs.
!
vlan access-map block_arp 10
action drop
match mac address ARP_Packet
vlan access-map block_arp 20
action forward
vlan access-map block_one_oui 10
action drop
match mac address ARP_ONE_OUI
vlan access-map block_one_oui 20
action forward
vlan access-map block_two_oui 10
action drop
match mac address ARP_TWO_OUI
vlan access-map block_two_oui 20
action forward
!
vlan filter block_two_oui vlan-list 2
!--- This applies the MAC ACL name “block_two_oui” to VLAN 2.
|
Verificar
Use esta seção para confirmar se a sua configuração funciona corretamente.
Você pode verificar se o switch aprendeu o endereço MAC ou a entrada de ARP antes de aplicar a ACL de MAC. Insira o comando show mac-address-table, como mostrado neste exemplo.
O Cisco CLI Analyzer (somente clientes registrados) aceita alguns comandos show. Use o Analisador CLI para exibir uma análise da saída do comando show.
switch#show mac-address-table dynamic vlan 2
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
2 0000.861f.3745 DYNAMIC Fa0/21
2 0006.5bd8.8c2f DYNAMIC Fa0/22
Total Mac Addresses for this criterion: 2
switch#show ip arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 10.1.1.2 26 0000.861f.3745 ARPA Vlan2
Internet 10.1.1.3 21 0006.5bd8.8c2f ARPA Vlan2
Internet 10.1.1.1 - 000d.65b6.9700 ARPA Vlan2
Troubleshooting
Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.
Informações Relacionadas