思科第 2 层 ACL 和 STP

网络工程 思科 转变 安全 生成树
2021-08-02 22:28:44

我在一堆 2960X 交换机上创建了一个 Mac-ACL,以限制用户仅访问互联网网关。

mac access-list extended PROTECTED
 permit any host ffff.ffff.ffff 0x800 0x0
 permit any host ffff.ffff.ffff 0x806 0x0
 permit any host ffff.ffff.ffff 0x86DD 0x0
 permit any host dead.beef.cafe 0x800 0x0
 permit any host dead.beef.cafe 0x806 0x0
 permit any host dead.beef.cafe 0x86DD 0x0
deny   any any

"dead.beef.cafe" 是 Fortinet 防火墙。

单独使用“switchport protected”不是一种选择,因为此功能仅限于一台交换机。实施此解决方案时,我不知道专用 VLAN 的概念。

interface GigabitEthernet1/0/2
  description Room X
  switchport access vlan 101
  switchport voice vlan 102
  switchport mode access
  switchport port-security maximum 3 vlan access
  switchport port-security
  switchport port-security violation protect
  mac access-group PROTECTED in
  no lldp transmit
  spanning-tree portfast
  spanning-tree bpduguard enable
 end

今天这个配置出现问题。所有边缘端口都配置了 BPDUGUARD 以在收到 STP 数据包时禁用端口。Mac-ACL 在 BPDUGUARD 之前起作用。因此,在 2 个交换机端口之间发生环路的情况下,ACL 正在过滤 BPDU,而 BPDUGUARD 不再起作用。

不幸的是,当我们实施这个网络时,我不太熟悉隔离专用 VLAN 的概念。同时,我发现使用私有 VLAN 对网络进行分段是比使用 Mac-ACL 更好的解决方案。我想避免为了解决这个循环问题而重新设计整个网络。

任何建议如何解决这个问题?

问候安德烈亚斯

1个回答

01-80-C2对于第 2 层链路本地协议,您永远不应该阻止 OUI ( )。该 OUI 是为 LLDP、BPDU、802.1X 等链路层协议预留的。它是一种多播 OUI,遵循 IEEE 802.1D(生成树)标准的网桥(包括交换机)永远不会将这些帧发送到另一个界面。

如果您使用 PVST,则 BPDU 使用不同的 MAC 地址:01:00:0C:CC:CC:CD.

其它你可能感兴趣的问题
上一篇有没有办法优先/管理 WIFI 流量(在 WIFI 领域)? 下一篇如何使 IPSec VPN 隧道从 ADSL 上的 NAT 后面工作?