8
CISCO 2960-24TT - MAC Access-Lists?
Hallo.
Ich habe eine vieleicht etwas kompliziertere Frage:
Gibt es irgendeine Möglichkeit, auf einem CISCO 2960-24TT-Switch, MAC-Access-Lists zu erstellen, sprich, dass man z.B. auf den Interface FastEthernet0/1 - 0/10 eine ACL (angewandt auf in) hat, die z.B. beinhaltet:
permit any 00:11:22:33:44:55
deny any any
Wenn man davon ausgeht, dass der Gateway die MAC-Adresse 00:11:22:33:44:55 hat, dürften ja alle an diese Ports angeschlossene Geräte nur noch mit dem Gateway kommunizieren, aber nicht untereinander ...
Oder gibt es sonst eine Möglichkeit, die Kommunikation der Geräte untereinander zu verbieten, ausser mit dem Gateway?
Greetz, Lousek
Ich habe eine vieleicht etwas kompliziertere Frage:
Gibt es irgendeine Möglichkeit, auf einem CISCO 2960-24TT-Switch, MAC-Access-Lists zu erstellen, sprich, dass man z.B. auf den Interface FastEthernet0/1 - 0/10 eine ACL (angewandt auf in) hat, die z.B. beinhaltet:
permit any 00:11:22:33:44:55
deny any any
Wenn man davon ausgeht, dass der Gateway die MAC-Adresse 00:11:22:33:44:55 hat, dürften ja alle an diese Ports angeschlossene Geräte nur noch mit dem Gateway kommunizieren, aber nicht untereinander ...
Oder gibt es sonst eine Möglichkeit, die Kommunikation der Geräte untereinander zu verbieten, ausser mit dem Gateway?
Greetz, Lousek
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 125489
Url: https://administrator.de/contentid/125489
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
8 Kommentare
Neuester Kommentar
Hi Lousek,
mal davon abgesehen ob es machbar ist, was ist an der MAC-Adresse besser als an der IP-Adresse? Soweit ich weiß, kannst du keine MAC-ACL erstellen. Jedoch ne IP-ACL ist problemlos möglich.
Grüße,
Dani
mal davon abgesehen ob es machbar ist, was ist an der MAC-Adresse besser als an der IP-Adresse? Soweit ich weiß, kannst du keine MAC-ACL erstellen. Jedoch ne IP-ACL ist problemlos möglich.
Grüße,
Dani
Hoi Dani
Entweder bin ich wirklich zu dumm, oder der kurze Manual-"Überflug" hatte Recht ... beim 2960-24TT kann man zwar IP ACLs definieren, aber man kann sie nirgends anwenden (physikalische Ints, SubInts, VInts) ... ?
Greetz, Lousek
Entweder bin ich wirklich zu dumm, oder der kurze Manual-"Überflug" hatte Recht ... beim 2960-24TT kann man zwar IP ACLs definieren, aber man kann sie nirgends anwenden (physikalische Ints, SubInts, VInts) ... ?
Greetz, Lousek
Moin,
na klar kannst du eine erstellte IP-ACL z.b. auf VLAN's oder einzelne Ports binden. Der Befehl ist ip access-group ACL-NR - fertig.
Grüße,
Dani
na klar kannst du eine erstellte IP-ACL z.b. auf VLAN's oder einzelne Ports binden. Der Befehl ist ip access-group ACL-NR - fertig.
Grüße,
Dani
Ich habe mal im CISCO-Packettracer geschaut ... beim CISCO 3560-24PS geht dies ohne Probleme ... aber beim CISCO 2960-24TT gibt es zwar die Möglichkeit, Standard und Extended IP ACLs zu erstellen, aber die können weder Subinterfaces, noch Interfaces noch virtuellen Interfaces zugewiesen werden ....
@Lousek
Natürlich kann man Mac ACL definieren auf dem 2960 ! Da hast du wohl nicht richtig nachgesehen:
http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/rele ...
Wie willst du sonst filtern bei non IP Protokollen ?? Und wenn....dann werden Mac ACLs auf die physischen Ports gesetzt. Auf virtuellen macht das doch überhaupt gar keinen Sinn, denn die sind nur fürs Routing da !!
Bei einem Port isolierten VLAN ist das aber Quatsch und zeugt von eher wenig KnowHow bei VLANs.
Diese Funktion nennt man Private VLANs oder isolated VLANs und natürlich supported der 2960 logischerweise auch (Private VLANs).
Hier wird schlicht und einfach der Broadcast Traffic nicht geforwarded auf die Ports sondern nur auf zu definierende Uplink Ports. So wird sicher eine Client zu Client Funktion unterbunden.
Das ist ein einziges Kommando im VLAN anstatt mit Mac ACLs an allen Ports rumzufrickeln !
Natürlich kann man Mac ACL definieren auf dem 2960 ! Da hast du wohl nicht richtig nachgesehen:
http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/rele ...
Wie willst du sonst filtern bei non IP Protokollen ?? Und wenn....dann werden Mac ACLs auf die physischen Ports gesetzt. Auf virtuellen macht das doch überhaupt gar keinen Sinn, denn die sind nur fürs Routing da !!
Bei einem Port isolierten VLAN ist das aber Quatsch und zeugt von eher wenig KnowHow bei VLANs.
Diese Funktion nennt man Private VLANs oder isolated VLANs und natürlich supported der 2960 logischerweise auch (Private VLANs).
Hier wird schlicht und einfach der Broadcast Traffic nicht geforwarded auf die Ports sondern nur auf zu definierende Uplink Ports. So wird sicher eine Client zu Client Funktion unterbunden.
Das ist ein einziges Kommando im VLAN anstatt mit Mac ACLs an allen Ports rumzufrickeln !
... ich habe die IP ACLs gemeint, die man nicht verwenden kann ;)
... das mit den isolated VLANs ist wohl genau dass, was ich suche, werde es mir bei Gelegenheit mal anschauen
Greetz & good n8
... das mit den isolated VLANs ist wohl genau dass, was ich suche, werde es mir bei Gelegenheit mal anschauen
Greetz & good n8
hmm
@aqui: Sorry ... aber kannst du mir das etwas genauer erklären (Befehle & CO) wie du das anstellen würdest ... aber im Packettracer gibt es weder die Möglichkeit (egal auf welchen Interfaces) um ACLs zuzuweisen, noch um MAC ACLs zu erstellen, noch um Private VLANs einzurichten ... ich versuche es heute mal mit einem richtigen, wenn ich einen von unserem Netzwerk-Admin zum rumprobieren bekommen kann ;)
@aqui: Sorry ... aber kannst du mir das etwas genauer erklären (Befehle & CO) wie du das anstellen würdest ... aber im Packettracer gibt es weder die Möglichkeit (egal auf welchen Interfaces) um ACLs zuzuweisen, noch um MAC ACLs zu erstellen, noch um Private VLANs einzurichten ... ich versuche es heute mal mit einem richtigen, wenn ich einen von unserem Netzwerk-Admin zum rumprobieren bekommen kann ;)
Hier kannst du nachlesen auf welchen Switches (Cisco Modelle) es überhaupt supportet ist:
http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_not ...
Die genaue Einrichtung steht hier:
http://www.cisco.com/en/US/products/hw/switches/ps700/products_tech_not ...
Andere Dokumente dazu:
http://www.cisco.com/en/US/tech/tk389/tk814/technologies_configuration_ ...
http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_not ...
Die genaue Einrichtung steht hier:
http://www.cisco.com/en/US/products/hw/switches/ps700/products_tech_not ...
Andere Dokumente dazu:
http://www.cisco.com/en/US/tech/tk389/tk814/technologies_configuration_ ...
