...
Разрешить прохождения трафика только из подсети 192.168.20.0/24.Scroll Pagebreak
Решение:
Настроим список доступа для фильтрации по подсетям:
...
| Шаг | Описание | Команда | Ключи |
|---|---|---|---|
| 1 | Создать список контроля доступа и перейти в режим его конфигурирования. | scs(config)# mac access-list extended <NAME> | <NAME> — имя создаваемого списка контроля доступа, задаётся строкой до 31 символа. |
| 2 | Указать описание конфигурируемого списка контроля доступа (необязательно). | scs(config-acl-mac)# description <DESCRIPTION> | <DESCRIPTION> — описание списка контроля доступа, задаётся строкой до 255 символов. |
| 3 | Создать правило и перейти в режим его конфигурирования. Правила обрабатываются сервером в порядке возрастания их номеров. | scs(config-acl-mac)# rule <ORDER> | <ORDER> — номер правила, принимает значения [1...4094]. |
| 4 | Указать действие, которое должно быть применено для трафика, удовлетворяющего заданным критериям. | scs(config-acl-mac-rule)# action <ACT> | <ACT> — назначаемое действие:
|
| 5 | Установить имя/номер протокола, для которого должно срабатывать правило (необязательно). | scs(config-acl-mac-rule)# match protocol <TYPE> | <TYPE> — тип протокола, принимает значения: arp, ip, ipv6, lacp, lldp, cdp, stp, vtp. При указании значения «any» правило будет срабатывать для любых протоколов. |
scs(config-acl-mac-rule)# match ethertype <ID> | <ID> — идентификационный номер инкапсулированного протокола, принимает значения [0x0600-0xFFFF]. | ||
8 | Установить MAC-адреса отправителя, для которых должно срабатывать правило (необязательно). | scs(config-acl-mac-rule)# match source-mac <ADDR><WILDCARD> | <ADDR> — МАС-адрес отправителя, задается в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]; <WILDCARD> — маска МАС-адреса, задается в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. Биты маски, установленные в 0, задают биты MAC-адреса, исключаемые из сравнения при поиске. |
9 | Установить MAC-адреса получателя, для которых должно срабатывать правило (необязательно). | scs(config-acl-mac-rule)# match destination-mac <ADDR><WILDCARD> | |
12 | Установить значение 802.1p приоритета, для которого должно срабатывать правило (необязательно). | scs(config-acl-mac-rule)# match сos <COS> | <COS> — значение 802.1p приоритета, принимает значения [0..7]. |
15 | Установить значение идентификационного номера VLAN, для которого должно срабатывать правило (необязательно). | scs(config-acl-mac-rule)# match vlan <VID> | <VID> — идентификационный номер VLAN, принимает значения [1..4094]. |
16 | Активировать правило. | scs(config-acl-mac-rule)# enable | |
17 | Указать список контроля доступа к конфигурируемому интерфейсу для фильтрации входящего трафика. | scs(config-if-gi)# service-acl mac input <NAME> | <NAME> — имя списка контроля доступа, задается строкой до 31 символа. |
| 18 | Указать список контроля доступа к конфигурируемому интерфейсу для фильтрации исходящего трафика. | scs(config-if-gi)# service-acl mac output <NAME> | <NAME> — имя списка контроля доступа, задается строкой до 31 символа. |
Scroll Pagebreak
Пример настройки списка доступа
...
Разрешить прохождение ARP запросов только c VLAN 343.scroll-pagebreak
Решение:
Настроим список доступа для фильтрации по протоколу и vlan:
...
| Блок кода |
|---|
scs# show mac access-list white |
Scroll Pagebreak