URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 15250
[ Назад ]

Исходное сообщение
"непонятки с mac access-list"

Отправлено disappointed , 14-Янв-08 23:57 
свитч 2960.
c2960#show access-lists test
Extended MAC access list test
    deny   host 0017.9a09.c11d any
    permit any any
тестируемый порт
!
interface FastEthernet0/5
storm-control broadcast level 5.00 1.00
storm-control multicast level 10.00
mac access-group test in
no cdp enable
!

За портом некая железяка, именно её мак 0017.9a09.c11d.
Эксперименты показали что фактически этот acl блокирует всего лишь арп реплай от неё. То есть пинг до неё дерится некторое время через свитч после установки ацла, после чего по мере устаревания мака по aging-time в таблице при очередном реквесте, его не удаются получить. И как бы пропадает пинг конечно.
Но. Если прописать его статически руками. Ну вскажем на винде arp -s 192,168,1,1 00-17-9a-09-c1-1d
то снова можно общаться с заблокированной железякой "сквозь" стоящий acl.

Это фича или что?? Мне нужно полностью дропнуть эзер фреймы с маком 0017.9a09.c11d на ингресс указанного порта.


Содержание

Сообщения в этом обсуждении
"непонятки с mac access-list"
Отправлено AD , 20-Янв-08 20:07 
mac-address-table static хххх.хххх.хххх vlan ХХ drop  ?

"непонятки с mac access-list"
Отправлено shutdown now , 20-Янв-08 23:21 
>[оверквотинг удален]
>неё. То есть пинг до неё дерится некторое время через свитч
>после установки ацла, после чего по мере устаревания мака по aging-time
>в таблице при очередном реквесте, его не удаются получить. И как
>бы пропадает пинг конечно.
>Но. Если прописать его статически руками. Ну вскажем на винде arp -s
>192,168,1,1 00-17-9a-09-c1-1d
>то снова можно общаться с заблокированной железякой "сквозь" стоящий acl.
>
>Это фича или что?? Мне нужно полностью дропнуть эзер фреймы с маком
>0017.9a09.c11d на ингресс указанного порта.

mac-access-list обрабатывает только не IP фреймы