2009-05-01

mac access-list

к предыдущему вопросу.
сценарий:
sw1===sw2===sw3

sw1:
int vlan 1
  ip add 10.0.0.1 255.255.255.0

sw2:
int vlan 1
  ip add 10.0.0.2 255.255.255.0

sw3:
int vlan 1
  ipa add 10.0.0.3 255.255.255.0

проверка:
SW1>ping 10.0.0.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/5/9 ms
SW1>ping 10.0.0.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/8 ms

теперь список доступа:

SW1>sh ip arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  10.0.0.2              125   001d.4614.2040  ARPA   Vlan1
Internet  10.0.0.3                -   001d.4614.dcc0  ARPA
Internet  10.0.0.1                -   0016.9d94.9c40  ARPA   Vlan1
SW2#
SW2#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
SW2(config)#mac access-list sw1-to-sw2
SW2(config-ext-macl)#permit host 0016.9d94.9c40 host 001d.4614.dcc0
SW2(config-ext-macl)#permit host 001d.4614.dcc0 host 0016.9d94.9c40
SW2(config-ext-mac)#exi
SW2(config)#vlan access-map sw1-to-sw2 10
SW2(config-access-map)#match mac add sw1-to-sw2
SW2(config-access-map)#action drop
SW2(config-access-map)#vlan access-map sw1-to-sw2 20
SW2(config-access-map)#action forward
SW2(config-access-map)#exi
SW2(config)#vlan filter sw1-to-sw2 vlan-list 1


то есть теперь любой трафик с мак-адреса SW1 на мак-адрес SW2 должен блокироваться?
проверим:

SW1#ping 10.0.0.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/9 ms
SW1#sh ip arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  10.0.0.2                0   001d.4614.2040  ARPA   Vlan1
Internet  10.0.0.3                0   001d.4614.dcc0  ARPA   Vlan1
Internet  10.0.0.1                -   0016.9d94.9c40  ARPA   Vlan1
что ж это такое? не правильно настроен список доступа?
смотрим дальше.
SW1#clear ip arp 10.0.0.3
SW1#ping 10.0.0.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.3, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
SW1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
SW1(config)#arp 10.0.0.3 001d.4614.dcc0 arpa
SW1(config)#^Z
SW1#ping 10.0.0.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/9 ms
 
то есть, как только арп устаревает, обмен данными между SW1 и SW2 прекращается: как только на SW1 сбрасываем арп - пинги перестают ходить. если добавляем статический арп - все становиться ок :)

вопрос 1: почему не надо обновлять арп на SW3? 
вопрос 2: обновиться ли арп  полученным от SW1 пакетом?

ответ 1: потому что арп-таймаут составляет около 14400 секунд (4 часа)
ответ 2: нет см. пример:
SW3#clear ip ar
3d23h: %SYS-5-CONFIG_I: Configured from console by consolep 10.0.0.1
SW3#sh ip arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  10.0.0.3                -   001d.4614.dcc0  ARPA   Vlan1
SW1#ping 10.0.0.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.3, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
SW3#sh ip arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  10.0.0.3                -   001d.4614.dcc0  ARPA   Vlan1
Internet  10.0.0.1                0   Incomplete      ARPA
 
как мы видим, адрес 10.0.0.1 ждет разрешения арп, и пинг не проходит.

Немає коментарів: