阻拦使用MAC访问列表的ARP数据包和在Catalyst 2970, 3550, 3560和3750系列交换机上VLAN访问映射
Contents
Introduction
本文讨论Cisco Catalyst 3550 Series Switch的配置。您在此方案能使用所有Catalyst 2970, 3560或者3750系列交换机为了得到同样结果。本文展示如何配置MAC访问控制表(ACL)为了阻拦在设备中的通信在VLAN内。您能根据主机网络接口卡(NIC)适配器制造商阻拦单个主机或主机的范围。您能阻拦主机的范围,如果禁止起源于根据IEEE组织唯一标识符的地址解析服务(ARP)信息包(OUI)和company_id分配的这些设备。
在网络中,您能阻拦ARP请求信息包为了限制用户访问。在一些网络环境中,您希望阻止基于第 2 层 MAC 地址(而非 IP 地址)的 ARP 数据包。如果创建MAC地址ACL和VLAN访问映射并且应用他们于VLAN接口,您能完成此种限制。
Prerequisites
Requirements
参考IEEE OUI和Company_id分配
为了确定IEEE OUI和company_id分配。
Components Used
本文的信息根据Cisco Catalyst 3550 Switch。
The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.If your network is live, make sure that you understand the potential impact of any command.
相关产品
支持in命令此配置的其他交换机包括Catalyst 2970, 3560或者3750系列交换机。
Configure
本部分提供有关如何配置本文档所述功能的信息。
为了配置MAC地址过滤和适用它于VLAN接口,您必须完成几个步骤。首先,您创建必须过滤的每种流量类型的VLAN访问映射。您为阻拦选择MAC地址的MAC地址或范围。您也需要识别在访问列表的ARP数据流。符合RFC 826 , ARP帧使用值0x806的以太网协议类型。您在此协议类型能过滤作为访问列表的触发数据流。
-
在全局配置模式下,用命名ARP_Packet请创建已命名MAC被扩大的访问列表。
输入mac access-list被扩大的ACL_name命令并且添加您要阻拦的主机MAC地址或地址。
Switch(config)#mac access-list extended ARP_Packet Switch(config-ext-nacl)#permit host 0000.861f.3745 host 0006.5bd8.8c2f 0x806 0x0 Switch(config-ext-nacl)#end Switch(config)#
-
输入name命令VLAN Access-map的map_和action drop命令,是实行的动作。
name命令VLAN Access-map的map_使用您创建阻塞从主机的ARP数据流的MAC访问列表。
Switch(config)#vlan access-map block_arp 10 Switch (config-access-map)#action drop Switch (config-access-map)#match mac address ARP_Packet
-
添加一其他线路到同一VLAN访问映射为了转发数据流的其余。
Switch(config)#vlan access-map block_arp 20 Switch (config-access-map)#action forward
-
选择VLAN访问映射并且应用它于VLAN接口。
输入Vlan filter vlan_access_map_name vlan-list vlan_number命令。
Switch(config)#vlan filter block_arp vlan-list 2
配置示例
此配置示例创建三MAC访问列表和三VLAN访问映射。配置应用第三个VLAN访问映射于VLAN接口2。
| 3550交换机 |
|---|
mac access-list extended ARP_Packet permit host 0000.861f.3745 host 0006.5bd8.8c2f 0x806 0x0 !--- This blocks communication between hosts with this MAC. ! mac access-list extended ARP_ONE_OUI permit 0000.8600.0000 0000.00ff.ffff any 0x806 0x0 !--- This blocks any ARP packet that originates from this vendor OUI. ! mac access-list extended ARP_TWO_OUI permit 0000.8600.0000 0000.00ff.ffff any 0x806 0x0 permit 0006.5b00.0000 0000.00ff.ffff any 0x806 0x0 !--- This blocks any ARP packet that originates from these two vendor OUIs. ! vlan access-map block_arp 10 action drop match mac address ARP_Packet vlan access-map block_arp 20 action forward vlan access-map block_one_oui 10 action drop match mac address ARP_ONE_OUI vlan access-map block_one_oui 20 action forward vlan access-map block_two_oui 10 action drop match mac address ARP_TWO_OUI vlan access-map block_two_oui 20 action forward ! vlan filter block_two_oui vlan-list 2 !--- This applies the MAC ACL name “block_two_oui” to VLAN 2. |
Verify
使用本部分可确认配置能否正常运行。
您能验证交换机是否了解MAC地址或ARP条目,在您适用MAC ACL前。输入show mac-address-table命令,此示例显示。
思科 CLI 分析器(仅适用于注册客户)支持某些 show 命令。请使用CLI分析器为了查看show命令输出分析。
switch#show mac-address-table dynamic vlan 2
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
2 0000.861f.3745 DYNAMIC Fa0/21
2 0006.5bd8.8c2f DYNAMIC Fa0/22
Total Mac Addresses for this criterion: 2
switch#show ip arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 10.1.1.2 26 0000.861f.3745 ARPA Vlan2
Internet 10.1.1.3 21 0006.5bd8.8c2f ARPA Vlan2
Internet 10.1.1.1 - 000d.65b6.9700 ARPA Vlan2
Troubleshoot
目前没有针对此配置的故障排除信息。
Related Information
反馈