würde diese VACL wie gewünscht funktionieren?

[Poison Nuke]

Hallo,

wenn man diese VACL auf einem Distribution Layer Switch ausführt, würde es zu dem gewünschten Ergebnis führen, dass alle Hosts in VLAN 100 - 800 nur noch ausschließlich Pakete zum Gateway schicken können, welches diese eine MAC Adresse hat, aber keine Pakete mehr innerhalb des VLANs ausgetauscht werden können (bis auf ARP)?

Code:

conf t
mac access-list extended only_Router
permit any 0018.7412.3456
permit 0018.7412.3456 any
permit any ffff.ffff.ffff
exit
vlan access-map P_VLAN 10
match mac address only_Router
action forward
exit
vlan filter P_VLAN vlan-list 100-800
end

[Poison Nuke]

beim Nachdenken darüber fiel mir auf, die VACL wird ja auch angewendet, wenn der Router ein Paket von irgendwo anders in dieses VLAN reinschickt, damit würden aber alle Pakete gedropt werden, weil die Ziel MAC nun ja die des Zielrechners ist.


Habe daher oben noch die zweite Zeile ergänzt, also src_mac die vom Router und dest_mac beliebig.



kann es halt leider noch nicht testen gerade, wollte daher vorweg in Erfahrung bringen ob es wenigstens erfolgsversprechend sein könnte