Bloquear pacotes ARP com o uso de listas de acesso MAC e mapas de acesso de VLAN nos switches Catalyst séries 2970, 3550, 3560 e 3750

Opções de download

  • PDF     (273.5 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (93.3 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (80.9 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:25 de abril de 2016
ID do documento:64844

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento discute a configuração para um Cisco Catalyst 3550 Series Switch. Você pode utilizar qualquer Catalyst 2970, 3560 ou 3750 Series Switch neste cenário para obter os mesmos resultados. O documento demonstra como configurar uma lista de controle de acesso (ACL) MAC para bloquear a comunicação entre dispositivos dentro de uma VLAN. Você pode bloquear um host único ou um intervalo de hosts com base no fabricante do adaptador da placa de interface de rede (NIC) do host. Você pode bloquear um intervalo de hosts se não permitir pacotes ARP (Address Resolution Protocol) que se originem desses dispositivos com base nas atribuições OUI (Organizational Unique Identifier) e company_id do IEEE.

Em uma rede, você pode bloquear pacotes de solicitação ARP para restringir o acesso do usuário. Em alguns cenários de rede, você deseja bloquear os pacotes ARP baseados não no endereço IP, mas nos endereços MAC da camada 2. Você pode realizar esse tipo de restrição se criar ACLs de endereço MAC e mapas de acesso de VLAN e aplicá-los a uma interface de VLAN.

Pré-requisitos

Requisitos

Consulte OUI e Atribuições de Company_id do IEEE para determinar o OUI e atribuições de company_id do IEEE.icon_popup_short.gif

Componentes Utilizados

As informações neste documento baseiam-se no Cisco Catalyst 3550 Switch.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Outros switches que suportam os comandos nesta configuração incluem os switches Catalyst das séries 2970, 3560 ou 3750.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Para configurar a filtragem de endereços MAC e aplicá-la à interface de VLAN, você deve concluir vários passos. Primeiro, você cria os mapas de acesso de VLAN para cada tipo de tráfego que deve ser filtrado. Você seleciona um endereço MAC ou um intervalo de endereços MAC para bloqueio. Você também precisa identificar o tráfego ARP na lista de acessos. De acordo com o RFC 826icon_popup_short.gif, um quadro ARP usa o tipo de protocolo Ethernet de valor 0x806. Você pode filtrar esse tipo de protocolo como tráfego interessante para a lista de acesso.

  1. No modo de configuração global, crie uma lista de acesso estendida nomeada MAC com o nome ARP_Packet.

    Insira o comando mac access-list extended ACL_name e adicione o endereço MAC do host ou os endereços que deseja bloquear.

    Switch(config)#mac access-list extended ARP_Packet
Switch(config-ext-nacl)#permit host 0000.861f.3745 host 0006.5bd8.8c2f 0x806 0x0
Switch(config-ext-nacl)#end
Switch(config)#

  2. Insira o comando vlan access-map map_ name e o comando action drop, que é a ação a ser executada.

    O comando vlan access-map map_ name usa a lista de acesso de MAC que você criou para bloquear o tráfego ARP dos hosts.

    Switch(config)#vlan access-map block_arp 10

Switch (config-access-map)#action drop
Switch (config-access-map)#match mac address ARP_Packet

  3. Adicione uma linha extra ao mesmo mapa do acesso de VLAN para encaminhar o resto do tráfego.

    Switch(config)#vlan access-map block_arp 20
Switch (config-access-map)#action forward

  4. Escolha um mapa de acesso de VLAN e aplique-o a uma interface de VLAN.

    Insira o comando VLAN filter vlan_access_map_name vlan-list vlan_number .

    Switch(config)#vlan filter block_arp vlan-list 2

Configuração de exemplo

Esta configuração de exemplo cria três listas de acessos de MAC e três mapas de acesso de VLAN. A configuração aplica o terceiro mapa do acesso de VLAN à interface de VLAN 2.

3550 Switch 
mac access-list extended ARP_Packet
permit host 0000.861f.3745 host 0006.5bd8.8c2f 0x806 0x0

!--- This blocks communication between hosts with this MAC.

!
mac access-list extended ARP_ONE_OUI
permit 0000.8600.0000 0000.00ff.ffff any 0x806 0x0

!--- This blocks any ARP packet that originates from this vendor OUI.

!
mac access-list extended ARP_TWO_OUI
permit 0000.8600.0000 0000.00ff.ffff any 0x806 0x0
permit 0006.5b00.0000 0000.00ff.ffff any 0x806 0x0

!--- This blocks any ARP packet that originates from these two vendor OUIs.

!
vlan access-map block_arp 10
action drop
match mac address ARP_Packet
vlan access-map block_arp 20
action forward


vlan access-map block_one_oui 10
action drop
match mac address ARP_ONE_OUI
vlan access-map block_one_oui 20
action forward


vlan access-map block_two_oui 10
action drop
match mac address ARP_TWO_OUI
vlan access-map block_two_oui 20
action forward


!
vlan filter block_two_oui vlan-list 2

!--- This applies the MAC ACL name “block_two_oui” to VLAN 2.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

Você pode verificar se o switch aprendeu o endereço MAC ou a entrada de ARP antes de aplicar a ACL de MAC. Insira o comando show mac-address-table, como mostrado neste exemplo.

O Cisco CLI Analyzer (somente clientes registrados) aceita alguns comandos show. Use o Analisador CLI para exibir uma análise da saída do comando show.

switch#show mac-address-table dynamic vlan 2
          Mac Address Table
-------------------------------------------

Vlan   Mac Address   Type       Ports
----   -----------   --------   -----
   2  0000.861f.3745 DYNAMIC    Fa0/21
   2  0006.5bd8.8c2f DYNAMIC    Fa0/22
Total Mac Addresses for this criterion: 2

switch#show ip arp
Protocol  Address   Age (min)  Hardware Addr   Type  Interface
Internet  10.1.1.2         26  0000.861f.3745  ARPA  Vlan2
Internet  10.1.1.3         21  0006.5bd8.8c2f  ARPA  Vlan2
Internet  10.1.1.1          -  000d.65b6.9700  ARPA  Vlan2

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Informações Relacionadas

TAC Authored

Colaborado por engenheiros da Cisco

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos