MAC access-lists und access groups funktionieren nicht auf c2960
Hio,
ich versuche gerade über mac access lists den Datenverkehr weiter zu kontrollieren.
Rein vom Konzept her auch von der Beschreibung von Cisco her sollte es ja eigentlich so wie IP Access lists sein, sprich es wird bei jedem Paket der MAC Header gegen die ACL verglichen und wenn ein Paket auf kein permit Argument der ACL passt wird es verworfen.
Oder nicht?
weil, hier die Konfig:
Code:
c2960-lanbase-mz.122-35.SE5.bin
interface FastEthernet0/12
description xyz
switchport mode access
switchport access vlan 245
switchport protected
switchport port-security
switchport port-security violation restrict
switchport port-security mac-address xxxx.xxxx.xxxx
ip access-group fa12 in
storm-control broadcast level 1.00
storm-control unicast level 90.00
storm-control action trap
mac access-group fa12a in
no cdp enable
spanning-tree portfast
spanning-tree bpdufilter enable
spanning-tree bpduguard enable
ip dhcp snooping limit rate 1
end
sh access-lists
Extended IP access list fa12
10 permit ip host xx.xx.xx.xx any
20 permit ip host yy.yy.yy.yy any
Extended MAC access list fa12a
deny any any
sollte grundlegend dafür sorgen das am Port 12 gar nix mehr geht, oder?
Nur das eigenwillige ist, der Computer daran ist weiterhin online.
Wenn ich hingegen den ARP Cache des Computers lösche, dann geht gar nix mehr.
D.h. vom Verhalten her bewirkt die ACL nur, dass keine ARP Request mehr gesendet werden können, aber sämtlicher anderer Datenverkehr an bekannte MAC Adressen geht weiterhin.
Nur da ich keine Option "ethertype 0x0806" gemacht habe, wird es ja an sich nicht auf ARP begrenzt oder wird per default nur ARP überhaupt geprüft?
die 2960 unterstützen MACLs nur für nicht IP Traffic. D.h. alles was kein IP Paket ist, wird davon beeinflusst. Da ARP kein IP Traffic ist, wurden natürlich die ARP Pakete geblockt, aber alles andere ging durch.
das muss man auch erstmal wissen...weil grundleged ist es schon ganz schön ungewöhnlich, da MAC ja immerhin unterhalb der IP Ebene arbeitet und es daher völlig egal ist, was der nächste Layer für ein Format hat. Naja, dann ist das halt wohl so und man kann sagen die MACL auf den 2960 und 2950 sind unbrauchbar. Man muss es dann offenbar auf den Ingress ACLs der nächsten Switche machen. Auch wenn das grundlegend auch wieder gegen die Philosophie von Cisco ist, man sollte den Traffic möglichst nah an der Quelle / Ziel filtern, je nach Richtung.
das er eben auf Layer2 arbeitet und nicht noch nach Layer3 schaut und erst anhand von Layer3 entscheidet, ob er seine Arbeit auf Layer2 fortsetzt oder nicht. Also genau DAS was man erwartet von einem L2 Switch.
die 2960 unterstützen MACLs nur für nicht IP Traffic. D.h. alles was kein IP Paket ist, wird davon beeinflusst. Da ARP kein IP Traffic ist, wurden natürlich die ARP Pakete geblockt, aber alles andere ging durch.
ne, die MAC Access List sollte sich auf ALLE Pakete auswirken. Ich wollte damit damit zusätzlich zur Port Security noch einige weitere Sachen steuern, z.B. sollten die angeschlossenen Computer nicht in der Lage sein, Verbindung zu bestimmten MACs aufzunehmen. Bei einer reinen L2 Funktionalität vom Switch wären damit sämtliche Pakete betroffen gewesen und es hätte den gewünschten Effekt. So hingegen ist die MACL vollkommen unwirksam bis halt auf dass kein ARP mehr geht wenn man ein deny any macht.
frag mich zwar überhaupt welchen Sinn Cisco in den MACLs sieht, wenn sie praktisch wirkungslos sind aber ok, ich löse es jetzt ja wie gesagt mit einer VACL auf dem Coreswitch.
Understanding ACLs:
IP ACLs filter IPv4 traffic, including TCP, User Datagram Protocol (UDP), Internet Group Management Protocol (IGMP), and Internet Control Message Protocol (ICMP).
Ethernet ACLs filter non-IP traffic.
Ich wuerde fuer sowas private VLANs nehmen (geht nicht mit 2960) oder halt IP ACLs.
Die VACL bringt dir nix wenn die Pakete von 2960 Port 1 zu Port 2 laufen .. da laeuft nichts durch den Core.
private VLANs sind auf den 2960 aktiv, sie unterstützen ja PVLAN edge, genau das was gebraucht wird. Damit geht jeder Traffic so oder so erstmal über den Core.
und IP ACLs können einfach rein vom Prinzip nicht das was gebraucht wird. Geht ja auch gar nicht. MAC und IP basierte Kommunikation ist halt was grundverschiedenes.
grundlegend soll es am Ende einfach eine verschärfte Version von PVLANs werden. Und mittels der Möglichkeiten der 2960 und den VACL über die 6500er ist das ja nun auch wie gewünscht (hoffentlich) realisierbar. Ich war halt der Hoffnung ich könnte schon die MAC Filterung direkt auf den 2960 machen lassen, rein von der Konzeption her, dass Filterregeln so nah wie möglich am Ursprung ausgeführt werden sollten.
warum macht man sich eigentlich die ganze Arbeit um eine Source die einfacher nicht zu fälschen ist ? Gehört das zusätzlich zu einem ausgefuchsten 802.1X design für Clients die 802.1X nicht können ?
dank manuell konfigurierter MAC Adressen über Portsecurity wird da nicht viel mit fälschen sein, wenn man sich auf die Portsecurity der 2960er verlassen kann. Bisher hatte die uns aber nicht im Stich gelassen.
und wozu umständliches, aufwändiges und mit Problemen verbundenes 802.1x?
Alles wird manuell vorkonfiguriert auf den Switchen (IPs und MACs usw), damit braucht man gar nicht erst eine Authentifzierung. Somit kann ein Rechner auch erst dann online kommen, wenn wir ihn manuell freischalten. Perfekt sag ich da nur. Eine bessere lösung gibt es auch gar nicht.
