сценарий:
sw1===sw2===sw3
sw1:
int vlan 1
ip add 10.0.0.1 255.255.255.0
sw2:
int vlan 1
ip add 10.0.0.2 255.255.255.0
sw3:
int vlan 1
ipa add 10.0.0.3 255.255.255.0
проверка:
SW1>ping 10.0.0.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/5/9 ms
SW1>ping 10.0.0.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/8 ms
теперь список доступа:
SW1>sh ip arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 10.0.0.2 125 001d.4614.2040 ARPA Vlan1
Internet 10.0.0.3 - 001d.4614.dcc0 ARPA
Internet 10.0.0.1 - 0016.9d94.9c40 ARPA Vlan1
SW2#
SW2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
SW2(config)#mac access-list sw1-to-sw2
SW2(config-ext-macl)#permit host 0016.9d94.9c40 host 001d.4614.dcc0
SW2(config-ext-macl)#permit host 001d.4614.dcc0 host 0016.9d94.9c40
SW2(config-ext-mac)#exi
SW2(config)#vlan access-map sw1-to-sw2 10
SW2(config-access-map)#match mac add sw1-to-sw2
SW2(config-access-map)#action drop
SW2(config-access-map)#vlan access-map sw1-to-sw2 20
SW2(config-access-map)#action forward
SW2(config-access-map)#exi
SW2(config)#vlan filter sw1-to-sw2 vlan-list 1
то есть теперь любой трафик с мак-адреса SW1 на мак-адрес SW2 должен блокироваться?
проверим:
SW1#ping 10.0.0.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/9 ms
SW1#sh ip arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 10.0.0.2 0 001d.4614.2040 ARPA Vlan1
Internet 10.0.0.3 0 001d.4614.dcc0 ARPA Vlan1
Internet 10.0.0.1 - 0016.9d94.9c40 ARPA Vlan1
что ж это такое? не правильно настроен список доступа?
смотрим дальше.
SW1#clear ip arp 10.0.0.3
SW1#ping 10.0.0.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.3, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
SW1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)#arp 10.0.0.3 001d.4614.dcc0 arpa
SW1(config)#^Z
SW1#ping 10.0.0.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/9 ms
то есть, как только арп устаревает, обмен данными между SW1 и SW2 прекращается: как только на SW1 сбрасываем арп - пинги перестают ходить. если добавляем статический арп - все становиться ок :)
вопрос 1: почему не надо обновлять арп на SW3?
вопрос 2: обновиться ли арп полученным от SW1 пакетом?
ответ 1: потому что арп-таймаут составляет около 14400 секунд (4 часа)
ответ 2: нет см. пример:
SW3#clear ip ar
3d23h: %SYS-5-CONFIG_I: Configured from console by consolep 10.0.0.1
SW3#sh ip arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 10.0.0.3 - 001d.4614.dcc0 ARPA Vlan1
SW1#ping 10.0.0.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.3, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
SW3#sh ip arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 10.0.0.3 - 001d.4614.dcc0 ARPA Vlan1
Internet 10.0.0.1 0 Incomplete ARPA
как мы видим, адрес 10.0.0.1 ждет разрешения арп, и пинг не проходит.
Немає коментарів:
Опублікувати коментар