精华好帖回顾
· 2010最后给力一贴！圣诞节必不可少的三部曲之一——跟凝凝做最最传统的欧洲圣诞节面包STOLLEN^^（多图详细步骤） (2010-12-21) feicunzic	· 海鲜焗饭&忌廉南瓜汤 (2007-12-15) 紫雪花
· 事在人为 (2005-1-8) Passion Vanilla	· 红烧鸡翅-简易版 (2005-7-4) 东北大厨

查看: 993|回复: 8

cisco的专家过来看看。 [复制链接]

发表于 2006-2-10 15:39 |显示全部楼层

此文章由 booper 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 booper 所有！转贴必须注明作者、出处和本声明，并保持内容完整

我想在switch上做一个vlan内部不同用户之间的隔离访问，vlan用户只能访问网关。
1/由于一些特殊需求，似乎pvlan不能用
2/主机不是直接连到switch上面，中间经过了好几个二层设备，主机是可变的。
3/没有三层，只有2层，不能用基于ip的过滤。。

我想用mac access-list extend 和vlan access-map...vlan filter
可是好像不大管用。。不知道为什么？

mac access0list extended test
permit any gateway's mac
permit gw's mac any
...

天上满是雨，我却不想躲
地下都是水，我却还得走
你过去了，我却过不去
水涨了，桥塌了，我把你忘记了

havealook

铜靴族

发表于 2006-2-10 15:47 |显示全部楼层

此文章由 havealook 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 havealook 所有！转贴必须注明作者、出处和本声明，并保持内容完整

没有用过mac access-list，但是mac access-list 你必须要考虑:broadcast mac address, multicast mac address, if SPT, SPT muticast mac address....

[ Last edited by havealook on 2006-2-10 at 04:47 PM ]

松下无人一局残，空山松子落棋盘。神仙更有神仙著，千古输赢下不完。

booper

积分交易之外

发表于 2006-2-10 15:49 |显示全部楼层

此文章由 booper 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 booper 所有！转贴必须注明作者、出处和本声明，并保持内容完整

vlan filter就是用mac access-list 的规则应用到vlan里面去的啊。。。我就是想让每个vlan用户只能和网关通信。。。

网络是这样的，switch连接多个isp，每个isp对应一个vlan。三层的事情由isp router负责。但是我要防止用户在二层互访。。

天上满是雨，我却不想躲
地下都是水，我却还得走
你过去了，我却过不去
水涨了，桥塌了，我把你忘记了

havealook

铜靴族

发表于 2006-2-10 15:56 |显示全部楼层

此文章由 havealook 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 havealook 所有！转贴必须注明作者、出处和本声明，并保持内容完整

一般而言,layer 3 access-list 先permit 然后deny all. layer 2 access-list 一般deny,然后permit all.因为layer 2有很多协议如:arp, SPT, CDP, multicast等.下面有一个例子不知道和不合用:
http://www.cisco.com/en/US/produ ... 86a0080470c39.shtml

有没有考虑用MPLS?

松下无人一局残，空山松子落棋盘。神仙更有神仙著，千古输赢下不完。

booper

积分交易之外

发表于 2006-2-10 16:09 |显示全部楼层

此文章由 booper 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 booper 所有！转贴必须注明作者、出处和本声明，并保持内容完整

我试过先action drop then action forward
permit any gw's mac
permit gw's mac any

可是测试仪一接，2个用户端口之间数据依然畅通。没想通问题出在哪里。
现在我只能知道网关的mac，其他的一概不知，而且也无法知道。。
mpls好像现在还用不到，不过应该到时候会给视频等应用用，但是对于隔离用户互访好像关系不大啊。。

天上满是雨，我却不想躲
地下都是水，我却还得走
你过去了，我却过不去
水涨了，桥塌了，我把你忘记了

havealook

铜靴族

发表于 2006-2-10 16:22 |显示全部楼层

此文章由 havealook 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 havealook 所有！转贴必须注明作者、出处和本声明，并保持内容完整

booper 在 2006-2-10 05:09 PM 发表:

我试过先action drop then action forward
permit any gw's mac
permit gw's mac any

可是测试仪一接，2个用户端口之间数据依然畅通。没想通问题出在哪里。
现在我只能知道网关的mac，其他的一概不知，而且 ...

我lab一下你的配置看看有什么结果。要半个小时左右。

MPLS我知道得不多，知道是用于layer 2 VPN的，所以想可能可以。

松下无人一局残，空山松子落棋盘。神仙更有神仙著，千古输赢下不完。

booper

积分交易之外

发表于 2006-2-10 16:23 |显示全部楼层

此文章由 booper 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 booper 所有！转贴必须注明作者、出处和本声明，并保持内容完整

多谢多谢！！

havealook

铜靴族

发表于 2006-2-10 16:47 |显示全部楼层

此文章由 havealook 原创或转贴，不代表本站立场和观点，版权归 oursteps.com.au 和作者 havealook 所有！转贴必须注明作者、出处和本声明，并保持内容完整

=========================
mac access-list extended test
permit any host 0011.115b.7a0b
permit host 0011.115b.7a0b any

vlan access-map test 10
action drop
match mac address test
vlan access-map test 20
action forward
vlan filter test vlan-list 1
=========================

这个配置是工作的。

测试：
============
ausydosw06#ping 192.168.100.10 ----〉MAC准许

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.100.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
ausydosw06#ping 192.168.100.116 ->>>>>>MAC拒绝

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.100.116, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
ausydosw06#

有一点要注意：如果在你apply vlan access-map之前你ping成功过192.168.100.116 (拒绝的MAC)，那么你必须清除mac表和arp表。不然，就算你apply vlan access-map，你还是能ping 通192.168.100.116(拒绝的MAC)！

[ Last edited by havealook on 2006-2-10 at 05:47 PM ]