Werbung
ACEs Associated with MAC ACL
Ändern eines MAC-basierten ACEs:
1. Öffnen Sie die Seite Add ACE to MAC Based ACL.
2. Klicken Sie auf Show All. Die Seite ACEs Associated with MAC ACL wird geöffnet.
3. Bearbeiten Sie die Felder ACL Name, Source und Destination Address sowie Action.
4. Klicken Sie auf Apply Changes. Der MAC-basierte ACE wird geändert und das Gerät aktualisiert.
Entfernen von ACLs:
1. Öffnen Sie die Seite Add ACE to MAC Based ACL.
2. Klicken Sie auf Show All. Die Seite ACEs Associated with MAC ACL wird geöffnet.
3. Wählen Sie eine ACL aus.
4. Aktivieren Sie das Kontrollkästchen Remove ACL.
5. Klicken Sie auf Apply Changes. Die MAC-basierte ACL wird entfernt und das Gerät aktualisiert.
Entfernen von ACEs:
1. Öffnen Sie die Seite Add ACE to MAC Based ACL.
2. Klicken Sie auf Show All. Die Seite ACEs Associated with MAC ACL wird geöffnet.
3. Wählen Sie einen ACE aus.
4. Aktivieren Sie das Kontrollkästchen Remove.
5. Klicken Sie auf Apply Changes. Der MAC-basierte ACE wird entfernt und das Gerät aktualisiert.
Zuweisen MAC-basierter ACEs zu ACLs mit Hilfe der CLI-Befehle
Beachten Sie das folgende Beispiel: Station A ist mit Anschluss 5 und Station B mit Anschluss 9 verbunden. Station A besitzt die MAC-Adresse 00-0B-CD-35-6A-
00 (IP-Adresse: 10.0.0.1 255.255.255.0). Station B verfügt über die MAC-Adresse 00-06-6B-C7-A1-D8 (IP-Adresse: 10.0.0.2 255.255.255.0).
Um eine MAC-ACL für Anschluss 5 zu implementieren, damit sämtlicher Datenverkehr von Station A zu Station B weitergeleitet werden kann, geben Sie die
folgenden CLI-Befehle ein:
permit source mac address destination mac address
permit 00-0B-CD-35-6A-00 0.0.0.0.0.0 00-06-6B-C7-A1-D8 0.0.0.0.0.0
Sämtlicher Datenverkehr, der der ACL entspricht, wird akzeptiert und sonstiger Datenverkehr abgelehnt. (Es wird ein zusätzliches promiskuitives deny all am
Ende der ACL eingegeben.)
Im vorangehenden Beispiel versucht Station A, ICMP ECHO an Station B zu senden. Das ICMP wird nicht erkannt, auch wenn es durch die MAC-ACL zugelassen
ist. Das Problem liegt darin, dass Station A versucht, Station B das ICMP ECHO zu senden, ohne über einen Eintrag in der ARP-Tabelle zu verfügen. Station A
versucht, die MAC-Adresse von Station B durch eine ARP-Anforderung abzurufen. Diese entspricht dem Broadcast-Frame mit der MAC-Quelladresse von Station
A (00-0B-CD-35-6A-00) und der Broadcast-Zieladresse (FF.FF.FF.FF.FF.FF). Dieser Frame wird ohne Fehlermeldung abgelehnt, da er nicht mit der für Anschluss
5 eingerichteten MAC-ACL übereinstimmt.
Zur Lösung dieses Problems muss der Benutzer eine zusätzliche permit-Zeile eingeben, damit der Broadcast-Frame zulässig ist:
permit 00-0B-CD-35-6A-00 0.0.0.0.0.0 FF.FF.FF.FF.FF.FF 0.0.0.0.0.0
ANMERKUNG:
Auch wenn ein Benutzer beabsichtigt, Datenverkehr von MAC-Adresse A zu MAC-Adresse B zuzulassen, wird einfacher Netzverkehr über
das ICMP nicht weitergeleitet, da die zusätzliche Broadcast-Zeile nicht berücksichtigt wird.
Werbung
