MAC-level access list на Catalyst-ах (не про Новел)

[Сергей Дубров]

Перевели своё сетевое хозяйство на цисковские свичи Catalyst 29xx/35xx и потеряли один очень важный функционал, присутствовавший в стареньком 3Com LANPlex 2500 - возможность писАть фильтры, базируясь на MAC-адресе сетевых интерфейсов. Access list-ы на базе IP далеко не всегда подходят. Ни у кого нет подобного рода опыта? А то всё, что вижу в IOS-е на тему access-list:

Sw-test(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
<1300-1999> IP standard access list (expanded range)
<2000-2699> IP extended access list (expanded range)

Один местный гуру утверждал, что MAC based листы пишутся для правил с номерами 800-899, но, как выяснилось, ничего подобного, IOS злобно ругается на попытку определить rule с номером 8xx. Может, другой какой диапазон нужен?

[Alex-M]

А версия ИОСа какая?
Я пробовал у себя - на Enterprise+ 12.0.7, там есть диапазоны 700-799 для MAC access list и 1100-1199 для MAC extended access list.

[Сергей Дубров]

А версия ИОСа какая?
Я пробовал у себя - на Enterprise+ 12.0.7, там есть диапазоны 700-799 для MAC access list и 1100-1199 для MAC extended access list.

Это для Каталист 29xx/35xx? У меня команда show version выдаёт (оставлено только нужное):

=======
IOS (tm) C3500xl Software (C3500xl-C3H2S-M), Version 12.0(5)WC5, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2002 by cisco Systems, Inc.
Compiled Tue 28-May-02 11:41 by devgoyal
System image file is "flash:c3500xl-c3h2s-mz.120-5.WC5.bin"

cisco WS-C3512-XL (PowerPC403) processor (revision 0x01) with 8192K/1024K bytes of memory.
Processor board ID FAB0541U1FL, with hardware revision 0x00
Last reset from warm-reset

Processor is running Enterprise Edition Software
=======

У тебя firmware свежее, но в публичном доступе (только что смотрел) новее 12.0.5.WC5 (май 2002) ничего нет. У вас подписка на кисковский софт, да?

[Alex-M]

Ай, слепой, слепой... Я почему-то подумал, что речть про роутеры...
Я смотрел на 3660 ящике. Звиняйте...
Хотя странно, что даже на роутерах МАК-фильтры есть, а на свитчах нету! А там L3 есть? Если есть - фильтры должны быть, может их куда-то засунули, например в конфигурацию интерфейса/порта или в полиси.

[Сергей Дубров]

Ай, слепой, слепой... Я почему-то подумал, что речть про роутеры...
Я смотрел на 3660 ящике. Звиняйте...
Хотя странно, что даже на роутерах МАК-фильтры есть, а на свитчах нету!

Это меня тоже сильно удивляет...

А там L3 есть?

Не, classical level 2

Если есть - фильтры должны быть, может их куда-то засунули, например в конфигурацию интерфейса/порта или в полиси.

Да, действительно, надо будет там пошукать. В документации на эту тему - полный ноль, к сожалению. А Cisco3660 у нас тоже есть, там действительно MAC level присутствует. Странно и непонятно - IP-фильтры для устройства второго уровня сделали, а для аппаратных адресов - почему-то нет.

[Юрий Беляков]

У меня есть несколько хороших книжек по циске, вечером посмотрю. Если найду что-то полезное - скину.

[Сергей.М.]

Сергей, ты наверно это имееш ввиду.

http://www.cisco.com/univercd/cc/td/doc ... .htm#31465

А на списки доступа забей, они нужны для vty и QoS. Причем в этих моделях поддержка QoS минимальная, более продвинута в 2950.

[Сергей Дубров]

Сергей, ты наверно это имееш ввиду.

http://www.cisco.com/univercd/cc/td/doc ... .htm#31465

Нет, Port Security нам не подходит, другой ракурс:

"When you assign secure addresses to a secure port, the switch does not forward any packets with source addresses outside the group of addresses you have defined."

Т.е., надо заранее определять эту самую группу адресов, чтобы было no passaran для "чужих" адаптеров, подключаемых к этому порту. Нам нужна простая возможность быстро вручную (или по snmp) заблокировать определённый MAC-адрес на бэкбоне. Это, как показывает опыт, самый быстрый способ заставить нарушителя отреагировать.

А на списки доступа забей, они нужны для vty и QoS.

Да нет, по IP вполне себе блокировки и разрешения работают, безотносительно к QoS и vty. Вот это и вызывает удивление - свич level 2, а acl-и позволяет делать только на level 3. Неправильно это. Вот на LANPlex2500 более гибкая система была, там я штучные MAC-и быстро отключал, написав один раз большой универсальный фильтр, только заменяя в нужный момент пустышку (000000000000) на требуемый Ethernet-адрес.

Причем в этих моделях поддержка QoS минимальная, более продвинута в 2950.

Это я знаю. И в 3550 у них управление более навороченное, но что есть, то есть, нам с этим конкретным железом жить надо.

[Сергей.М.]

Тогда боюсь ты тут ничего не сделаеш.
Посмотрел у себя на разных каталистах, 2950 держит, но используется спецальная команда на списки доступа по мак адресам, mac access-list extended WORD. На 3550 тоже самое. Ни 2950 ни 3550 не поддерживают access-list'ы с номерами 700-799.
Привожу табличку с ССО на 3550
Table 26-1: Access List Numbers Access List Number Type Supported
1-99
IP standard access list
Yes
100-199
IP extended access list
Yes
200-299
Protocol type-code access list
No
300-399
DECnet access list
No
400-499
XNS standard access list
No
500-599
XNS extended access list
No
600-699
AppleTalk access list
No
700-799
48-bit MAC address access list
No
800-899
IPX standard access list
No
900-999
IPX extended access list
No
1000-1099
IPX SAP access list
No
1100-1199
Extended 48-bit MAC address access list
No
1200-1299
IPX summary address access list
No
1300-1999
IP standard access list (expanded range)
Yes
2000-2699
IP extended access list (expanded range)
Yes

[Vadziku]

Тебе нужны VACL - Vlan Access Control Lists.
Фильтруют траффик входящий или выходящий из влан (траффик с компьютера подключенного к порту свитча считается входящим в влан к которому относится порт)

Существуют MACL - контролируют траффик на уровне маков по определенному порту.

Есть еще RACL - router, но про них я не знаю, не нужны были.
А эти документы легко найти по цисковскому поиску.

А на некоторых железках еще и соответствующие платки должны быть. На 5000/6000 серии например. На 29/35 не смотрел.

В порядке флейма: как правило заявления а у роутера/свитча ..... это гибче, чем у циски не оправдываются

[Сергей Дубров]

Тебе нужны VACL - Vlan Access Control Lists.
Фильтруют траффик входящий или выходящий из влан (траффик с компьютера подключенного к порту свитча считается входящим в влан к которому относится порт)

То, что мне надо, я знаю. И знаю, как это называется. Но:

"VACLs are available on the Catalyst 6000 series running CatOS 5.3 or later. "

Существуют MACL - контролируют траффик на уровне маков по определенному порту.

Аналогично - бывает только в шеститонниках.

Есть еще RACL - router, но про них я не знаю, не нужны были.
А эти документы легко найти по цисковскому поиску.

Давно всё найдено, только для наших Catalyst 2900/3500 - не подходит, насколько я вник в дело. Может быть, я ошибаюсь. Сегодня пообщаемся с супер-гуру на эту тему. Если кто знает - Сергей Турчин, первый сертифицированный Cisco eng в России. У нас мужик работает, как раз кисками и фаерволами заведует, так они с Турчиным родственники, вот и составит протекцию . Впрочем, я заочно с Турчиным и сам уже много лет знаком, он как-то даже приходил мне на помощь, когда в ньюсах какие-то придурки наезды не по делу устроили. Но это лирика...

А на некоторых железках еще и соответствующие платки должны быть. На 5000/6000 серии например. На 29/35 не смотрел.

А я смотрел и достаточно внимательно, 2900/3500 в этом плане не дотягивают до hi-end или у меня глаз никак в нужном направлении не сфокусируется и я пропускаю какие-то очевидные вещи. Ведь в Cisco3660 (router) сделали всё-таки ACL на MAC-и! Чего им помешало то же самое в Каталистах повторить?

В порядке флейма: как правило заявления а у роутера/свитча ..... это гибче, чем у циски не оправдываются

Бывают исключения. Да, на LANPlex-е не было никаких VLAN-ов, но функции работы с Ethernet-пакетами (в т.ч., и довольно навороченнные, н-р, побитовые) были исходно, что и позволило легко решить наши проблемы. Киски иногда поражают своей грандиозной эклетичной IOS, в которой, чтобы чего-нибудь найти, надо тонны документации перевернуть. Для LANPlex-а я с ходу нашёл нужные пару страниц с примерами и за пять минут сочинил фильтр:

Packet Filter 2 - Reject few MAC addresses
name "Reject few MAC addresses"
pushField.a 6
pushTop
pushTop
pushTop
pushTop
pushTop
pushTop
pushLiteral.a 0x000000000000
eq
reject
pushLiteral.a 0x000000000000
eq
reject
pushLiteral.a 0x000000000000
eq
reject
pushLiteral.a 0x000000000000
eq
reject
pushLiteral.a 0x000000000000
eq
reject
pushLiteral.a 0x000000000000
ne

Просто и понятно

[Vadziku]

Лень-матушка называется
VACL
http://www.cisco.com/warp/public/473/145.html
MACL
http://www.cisco.com/univercd/cc/td/doc ... swgacl.htm

Конечно бывают исключения, я же написал "как правило", да и флейм это был

[Сергей Дубров]

Лень-матушка называется
VACL
http://www.cisco.com/warp/public/473/145.html

Читаем внимательно:
"Understanding and Configuring Switching Database Manager on Catalyst 3550 Series Switches"

У меня, как я уже упоминал - 2900/3500.

MACL
http://www.cisco.com/univercd/cc/td/doc ... swgacl.htm

И эту ссылку я уже до дыр зачитал, она ведь, как видно из url-а, для 2950. А это совсем не то же самое, что 2900/3500:

Sw-test(config)#mac ?
aging-time Set MAC address table entry maximum age
dynamic Configure a dynamic 802.1d address
notification Enable/Disable MAC Notification on the switch
secure Configure a secure address
static Configure a static 802.1d static address

Sw-test(config)#mac

Команда mac access-list ... отсутствует, что мне было известно и неделю назад . Свич - Cat3512-XL-EN.