Bloquer les paquets ARP à l'aide de listes d'accès MAC et de mappages d'accès VLAN sur les commutateurs des gammes Catalyst 2970, 3550, 3560 et 3750

Options de téléchargement

  • PDF     (271.6 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (95.8 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (83.9 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:25 avril 2016
ID du document:64844

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document discute de la configuration pour un commutateur de la gamme Cisco Catalyst 3550. Vous pouvez utiliser n'importe quel commutateur des gammes Catalyst 2970, 3560 ou 3750 dans ce scénario afin d'obtenir les mêmes résultats. Ce document explique comment configurer une liste de contrôle d'accès MAC (ACL) afin de bloquer la communication entre les périphériques au sein d'un VLAN. Vous pouvez bloquer un hôte unique ou un éventail d'hôtes, selon le fabricant d'adaptateur de la carte d'interface de réseau (NIC) hôte. Vous pouvez bloquer une plage d'hôtes si vous interdisez les paquets ARP (Address Resolution Protocol) provenant de ces périphériques en fonction de l'identifiant unique d'organisation (OUI) IEEE et des affectations company_id.

Dans un réseau, vous pouvez bloquer les paquets de requête ARP afin de restreindre l'accès des utilisateurs. Dans certains scénarios de réseau, vous souhaitez bloquer des paquets ARP basés, non pas sur l'adresse IP, mais sur les adresses MAC de la couche 2. Vous pouvez accomplir ce type de restriction si vous créez des listes de contrôle d'accès d'adresse MAC et des mappages d'accès VLAN et les appliquez à une interface VLAN.

Conditions préalables

Exigences

Consultez Affectations company_id et OUI IEEE afin de déterminer les affectations company_id et OUI IEEE.icon_popup_short.gif

Composants utilisés

Les informations contenues dans ce document sont basées sur le commutateur Cisco Catalyst 3550.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Produits connexes

Les commutateurs Catalyst 2970, 3560 ou 3750 sont d'autres commutateurs qui prennent en charge les commandes de cette configuration.

Configurer

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Afin de configurer le filtrage des adresses MAC et de l'appliquer à l'interface VLAN, vous devez réaliser plusieurs étapes. Tout d’abord, vous créez les mappages d’accès VLAN pour chaque type de trafic qui doit être filtré. Vous sélectionnez une adresse MAC ou un éventail d'adresses MAC à bloquer. Vous devez également identifier le trafic ARP dans la liste d'accès. Conformément à la RFC 826icon_popup_short.gif, une trame ARP utilise le type de protocole Ethernet de valeur 0x806. Vous pouvez filtrer ce type de protocole comme trafic intéressant pour la liste d’accès.

  1. Dans le mode de configuration globale, créez une liste d'accès étendue MAC nommée avec le nom ARP_Packet.

    Entrez la commande mac access-list extended ACL_name et ajoutez la ou les adresses MAC hôte à bloquer.

    Switch(config)#mac access-list extended ARP_Packet
Switch(config-ext-nacl)#permit host 0000.861f.3745 host 0006.5bd8.8c2f 0x806 0x0
Switch(config-ext-nacl)#end
Switch(config)#

  2. Entrez la commande vlan access-map map_ name et la commande action drop, qui est l'action à effectuer.

    La commande vlan access-map map_ name utilise la liste d'accès MAC que vous avez créé pour bloquer le trafic ARP provenant des hôtes.

    Switch(config)#vlan access-map block_arp 10

Switch (config-access-map)#action drop
Switch (config-access-map)#match mac address ARP_Packet

  3. Ajoutez une ligne supplémentaire au même mappage d'accès VLAN afin de transférer le reste du trafic.

    Switch(config)#vlan access-map block_arp 20
Switch (config-access-map)#action forward

  4. Choisissez un mappage d'accès VLAN et appliquez-le à une interface VLAN.

    Entrez la commande VLAN filter vlan_access_map_name vlan-list vlan_number.

    Switch(config)#vlan filter block_arp vlan-list 2

Exemple de configuration

Cet exemple de configuration crée trois listes d'accès MAC et trois mappages d'accès VLAN. La configuration applique le troisième mappage d'accès VLAN à l'interface VLAN 2.

Commutateur 3550 
mac access-list extended ARP_Packet
permit host 0000.861f.3745 host 0006.5bd8.8c2f 0x806 0x0

!--- This blocks communication between hosts with this MAC.

!
mac access-list extended ARP_ONE_OUI
permit 0000.8600.0000 0000.00ff.ffff any 0x806 0x0

!--- This blocks any ARP packet that originates from this vendor OUI.

!
mac access-list extended ARP_TWO_OUI
permit 0000.8600.0000 0000.00ff.ffff any 0x806 0x0
permit 0006.5b00.0000 0000.00ff.ffff any 0x806 0x0

!--- This blocks any ARP packet that originates from these two vendor OUIs.

!
vlan access-map block_arp 10
action drop
match mac address ARP_Packet
vlan access-map block_arp 20
action forward


vlan access-map block_one_oui 10
action drop
match mac address ARP_ONE_OUI
vlan access-map block_one_oui 20
action forward


vlan access-map block_two_oui 10
action drop
match mac address ARP_TWO_OUI
vlan access-map block_two_oui 20
action forward


!
vlan filter block_two_oui vlan-list 2

!--- This applies the MAC ACL name “block_two_oui” to VLAN 2.

Vérifier

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

Vous pouvez vérifier si le commutateur a appris l'adresse MAC ou l'entrée ARP avant d'appliquer l'ACL MAC. Entrez la commande show mac-address-table, comme le montre cet exemple.

Certaines commandes d’affichage (« show ») sont offertes par l’outil « Cisco CLI Analyzer » réservé aux clients inscrits. Utilisez l'analyseur CLI afin d'afficher une analyse du résultat de la commande show.

switch#show mac-address-table dynamic vlan 2
          Mac Address Table
-------------------------------------------

Vlan   Mac Address   Type       Ports
----   -----------   --------   -----
   2  0000.861f.3745 DYNAMIC    Fa0/21
   2  0006.5bd8.8c2f DYNAMIC    Fa0/22
Total Mac Addresses for this criterion: 2

switch#show ip arp
Protocol  Address   Age (min)  Hardware Addr   Type  Interface
Internet  10.1.1.2         26  0000.861f.3745  ARPA  Vlan2
Internet  10.1.1.3         21  0006.5bd8.8c2f  ARPA  Vlan2
Internet  10.1.1.1          -  000d.65b6.9700  ARPA  Vlan2

Dépannage

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Informations connexes

TAC Authored

Contribution d’experts de Cisco

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits