Le filtrage MAC sur les switchs Cisco de la gamme Small Business / SG series

Cisco logo

Introduction

Nous allons voir comment paramétrer le filtrage mac en ligne de commandes pour les switchs Cisco de la gamme Small Business.

Configuration

  • Modèle Switch : Cisco SG550X
  • Modèle Switch : Cisco SG350X

Création d'ACL

La première chose à faire est de créer une ACL

  • Créer une acl que l'on nomme MF01
Switch (config)# mac access-list extended MF01
  • Autoriser l'addresse mac 24:B6:FD:14:08:53
Switch (config-mac-al)# permit 24:B6:FD:14:08:53 00:00:00:00:00:00 any ace-priority 20
  • Autoriser l'addresse mac 48:bd:0e:02:ea:41
Switch (config-mac-al)# permit 48:bd:0e:02:ea:41 00:00:00:00:00:00 any ace-priority 10
  • Autoriser la famille d'addresses mac 00:11:xx:xx:xx:xx
Switch (config-mac-al)# permit 00:11:00:00:00:00 00:00:FF:FF:FF:FF any ace-priority 8
  • On refuse toutes les autres MAC
Switch (config-mac-al)# deny any any ace-priority 40

Appliquer l'ACL aux interfaces

  • On rentre en mode configuration des interfaces ge1/0/4 à ge1/0/18
Switch (config)# interface range ge1/0/4-18
  • Appliquer l'access list aux interfaces
Switch (config-if-range)# service-acl input MF01
  • Si l'on veut revenir en arrière et Disassocier l'access list on pourra lancer la commande suivante
Switch (config-if-range)# no service-acl input MF01

Commandes Pratiques

  • Afficher les access lists
Switch # show access-lists MF01
Extended MAC access list MF01
    permit  host 48:bd:0e:02:ea:41 any ace-priority 10
    permit  host 24:b6:fd:14:08:53 any ace-priority 20
    deny    any any ace-priority 40
  • Supprimer une règle précise de notre acl
Switch (config)# mac access-list extended MF01
Switch(config-mac-al)# no permit 24:B6:FD:14:08:53 00:00:00:00:00:00 any
  • Supprimer une acl
Switch (config)# no mac access-list extended MF01

Mise en pratique

Voyons comment autoriser la famille d'addresses 00:11 et l'hôte 24:B6:FD:14:08:53. Les autres adresses seront bloquées

MAC filtering
  • Création d'une access list
Switch (config)# mac access-list extended MF01
  • On autorise la famille d'adresses 00:11:XX:XX:XX:XX
Switch (config-mac-al)# permit 00:11:00:00:00:00 00:00:FF:FF:FF:FF any
  • On autorise l'hôte 24:B6:FD:14:08:53
Switch (config-mac-al)# permit 24:B6:FD:14:08:53 00:00:00:00:00:00 any
  • On bloque les autres adresses
Switch (config-mac-al)# deny any any
  • On applique notre filtrage MAC à toutes nos interfaces. Ici de ge1/0/1 à ge1/0/24
Switch (config)# interface range ge1/0/1-24
Switch (config-if-range)# service-acl input MF01
Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.

Contact :