Le filtrage MAC sur les switchs Cisco de la gamme Small Business / SG series

Introduction

Nous allons voir comment paramétrer le filtrage mac en ligne de commandes pour les switchs Cisco de la gamme Small Business.

Configuration

• Modèle Switch : Cisco SG550X
• Modèle Switch : Cisco SG350X

Création d'ACL

La première chose à faire est de créer une ACL

• Créer une acl que l'on nomme MF01

Switch (config)# mac access-list extended MF01

• Autoriser l'addresse mac 24:B6:FD:14:08:53

Switch (config-mac-al)# permit 24:B6:FD:14:08:53 00:00:00:00:00:00 any ace-priority 20

• Autoriser l'addresse mac 48:bd:0e:02:ea:41

Switch (config-mac-al)# permit 48:bd:0e:02:ea:41 00:00:00:00:00:00 any ace-priority 10

• Autoriser la famille d'addresses mac 00:11:xx:xx:xx:xx

Switch (config-mac-al)# permit 00:11:00:00:00:00 00:00:FF:FF:FF:FF any ace-priority 8

• On refuse toutes les autres MAC

Switch (config-mac-al)# deny any any ace-priority 40

Appliquer l'ACL aux interfaces

• On rentre en mode configuration des interfaces ge1/0/4 à ge1/0/18

Switch (config)# interface range ge1/0/4-18

• Appliquer l'access list aux interfaces

Switch (config-if-range)# service-acl input MF01

• Si l'on veut revenir en arrière et Disassocier l'access list on pourra lancer la commande suivante

Switch (config-if-range)# no service-acl input MF01

Commandes Pratiques

• Afficher les access lists

Switch # show access-lists MF01
Extended MAC access list MF01
    permit  host 48:bd:0e:02:ea:41 any ace-priority 10
    permit  host 24:b6:fd:14:08:53 any ace-priority 20
    deny    any any ace-priority 40

• Supprimer une règle précise de notre acl

Switch (config)# mac access-list extended MF01
Switch(config-mac-al)# no permit 24:B6:FD:14:08:53 00:00:00:00:00:00 any

• Supprimer une acl

Switch (config)# no mac access-list extended MF01

Mise en pratique

Voyons comment autoriser la famille d'addresses 00:11 et l'hôte 24:B6:FD:14:08:53. Les autres adresses seront bloquées

• Création d'une access list

Switch (config)# mac access-list extended MF01

• On autorise la famille d'adresses 00:11:XX:XX:XX:XX

Switch (config-mac-al)# permit 00:11:00:00:00:00 00:00:FF:FF:FF:FF any

• On autorise l'hôte 24:B6:FD:14:08:53

Switch (config-mac-al)# permit 24:B6:FD:14:08:53 00:00:00:00:00:00 any

• On bloque les autres adresses

Switch (config-mac-al)# deny any any

• On applique notre filtrage MAC à toutes nos interfaces. Ici de ge1/0/1 à ge1/0/24

Switch (config)# interface range ge1/0/1-24
Switch (config-if-range)# service-acl input MF01

This website http://shebangthedolphins.net is licensed to the public under a licence Creative Commons Attribution licence.

Contact :