Announcement

**phamminhtuan** · 23-03-2010, 05:00 PM

Chào bạn,

MAC ACL chỉ hoạt động ngăn chặn giao thức ARP hoặc các giao thức layer 2 chứ không dùng để ngăn chặn gói tin đi qua switch.

Do đó, ACL bạn thường dùng những cách viết như sau(host to any), chứ không dùng dạng host - host
permit 000b.dc24.ca47 any
permit 000b.dc25.cb51 any
permit any any 0x0806 0x0000
permit any any lsap 0xAAAA 0x0000
permit any FFFF.FFFF.FFFF

Bạn có thể hiểu rõ hơn điều này bằng cách chặn 0011.5b7e.3789 any thì ping sẽ không thấy.

Sau đó từ PC hai bên bạn add tĩnh MAC thì lại ping thấy bình thường(làm trên windows) mặc dầu switch của bạn đã chặn host any.
C:\>arp -s 1.1.1.2 XX-XX-...(MAC máy B)-------Từ máy A
C:\>arp -s 1.1.1.1 XX-XX-...(MAC máy A)-------Từ máy B

Giải pháp cho vấn đề của bạn là dùng VLan ACL chặn trên layer 3 để triệt để hơn. Vì cho dù client có add MAC tĩnh bằng cách dùng câu lệnh ARP thì các máy bị chặn cũng không có khả năng liên lạc với nhau được.
Bạn để switch 3560 của bạn bình thường ở layer 2 nó cũng có khả năng xem vào phần IP để chặn gói tin từ máy A qua máy B bằng cách dùng Vlan ACL.

**study_net** · 23-03-2010, 11:09 PM

Theo như logmeinvietnam giải thích thì phương pháp chặn theo MAC là không hiệu quả trong việc chặn kết nối từ client.
Mình nghĩ là khi client gửi 1 gói tin cho các host trong cùng LAN (VLAN) thì switch sẽ dựa vào bảng ARP để xác định MAC đích, và khi kiểm tra thấy MAC nằm trong điều kiện deny thì tất cả các gói tin sẽ bị drop?Giả sử host A ping host B thì chúng cũng theo nguyên tắc trên?
Theo bạn tư vấn thì dùng VLAN ACL, nghĩa là chặn theo IP rồi apply vào VLAN phải kô?Bạn có thể demo theo yêu cầu của mình đc ko?
Thanks

**phamminhtuan** · 23-03-2010, 11:37 PM

Chào bạn,

Như mình mô tả bên trên thì VLAN filter chỉ dùng để chặn ARP (tránh client A broadcast ffff.ffff.ffff để tìm MAC của client B)chứ không hành động giống như ACL của layer 3. Do đó, client A chỉ cần map MAC-IP static là có thể ping được Client B cho dù bạn có chặn ARP.
Muốn chặn trực tiếp layer 2 thì bạn phải mac acces-group apply vào interface layer 2 chứ không dùng VLAN filter.

Còn cách mình khuyên bạn dùng là VLAN ACL cho layer 3 sẽ triệt để hơn(trong trường hợp client map MAC-IP static bằng lệnh arp -s)

Ví dụ: chặn mạng A qua mạng B và cho phép tất cả còn lại trong vlan 2.
access-list 101 permit tcp network-A wild-cad network-B wild card

vlan access-map filter_A-B
match ip address 101
action drop
vlan acces-map filter_A-B
action forward
vlan filter filter_A-B vlan-list 2

Chú ý: Trong cấu hình không cần thiết switch 3560 phải bật thêm câu lệnh ip routing(để routing giữa các vlan) nếu chỉ cần chặn trong vlan.

**study_net** · 26-03-2010, 08:21 PM

Lọc theo MAC và apply vào 1 port layer 2 của 3560 thì OK, nhưng chỉ có tác dụng khi port đó cắm trực tiếp vào PC.
Mình định dùng 3560 làm core, từ core này sẽ chia VLAN và chỉ có 1 port của mỗi VLAN đó đc nối tới 1 switch layer 2 , sau đó mới đến PC (không đủ kinh phí xài switch xịn). Trong tình huống này,dù có lọc MAC trên 3560 thì các PC vẫn ping thấy nhau, vì lúc này switch layer 2 kia quản lý bảng ARP.
Vậy còn phương án nào nữa để giải quyết vụ lọc MAC với hạ tầng mình có không nhỉ?

Announcement

Hỏi về MAC ACL

Hỏi về MAC ACL

Comment

Comment

Comment

Comment