3560 Vlan filter (VACL's)

Veamos el tema de manejo de filtrado basado por dominio de tramas.

La característica es observada en la serie 3560. Al parecer los modelos 2940,2960 y 3550 (no estoy tan seguro de este último) no soportan esta característica.

La característica de un VACL's (vlan access-list) tiene la capacidad de filtro por dominio de vlan, inclusive puede filtrar paquetes dentro de la trama. Cuando se trata de este tema, lo más simple de observar su funcionalidad es de la siguiente manera:

1_vlan-filter.JPG

Recordar que dentro de la nube, pueden existir muchos Switches como solo 1 Switch, pero la regla de su funcionamiento es la siguiente.

  • El filtrado se aplica en la entrada del puerto con la vlan.
  • Puede tener conflictos con interfaces de filtrado como access-list de entrada.
  • Existen dos tipos de filtrado: por IP o por capa 2.
  • Si hay un filtrado de IP aplicado, pero no coincide dentro de los vlan access-map especificados, por defecto, deja pasar el tráfico.
  • Si hay un filtrado de ETHERTYPE aplicado, pero no coincide dentro de los vlan access-map especificados, por defecto, bloquea el tráfico.

Configuración mínima.

Veamos un ejemplo de configuración.

ip access-list extended L3_TRAFFIC
permit udp any any eq 520
permit tcp any any
!
vlan access-map VLAN56_FILTER 10
match ip address L3_TRAFFIC
action forward
!
! Apply the filter to the VLAN
!
vlan filter VLAN56_FILTER vlan-list 56

Se recomienda que el filtrado esté aplicado en todos los switches que manejan el dominio de la vlan.

Ethertype

Si en el examen de CCIE R&S solicitan esta característica y solicitan filtros de capa 2, es necesario saber que tipo de ETHERTYPE debe filtrarse o dejarse pasar. Hay un link de la página de Cisco donde menciona muchos (no todos) que pueden ser útiles, pero al final es mejor que nos los aprendamos. A continuación los más comunes:

  • ARP: 0x0806
mac access-list extended IP_ARP
permit any any 0x806 0x0
  • PVST+: 0x010B
  • PVST: 0x4242 lsap
mac access-list extended PVST_PLUS
permit any any 0x010B 0x0
!
mac access-list extended PVST
permit any any lsap 0x4242 0x0
  • IP: 0x800 (no usar, por defecto deja pasar)
  • IPV6: 0x86DD (no filtra en los 3560. Ver tema Filtrado IPV6 con VACL 3560)

No tan comúnes:

  • VTP: 0x2003
  • CDP: 0x2000
  • DTP: 0x2004
  • UDLD: 0x0111

Nota: Los ethertype que no indiquen lsap son de la forma NSAP (ssap y dssap de 0xAAAA). Para especificar directamente sin usar esta extensión colocar el comando lsap al final.

Puedes ir al doc CD o al navegador de Cisco e ir a lo siguiente:

Products —> 3200 —> Configure —> Configuration Guides —> Cisco 3200 Series Wireless MIC Software Configuration Guide

En la sección Protocol Filters.

Filtrado IPV6 con VACL 3560

Con la habilidad de VACL de trabajar en capa 2 y capa3, es una gran opción para la aplicación de filtros dentro de un dominio de broadcast. Como ya sabemos, trata a IP y Ethertype (capa 2) como temas diferentes, pero que pasa con IPV6?

En la teoría nunca mencionan a IPV6 (excepto en la serie 6000 que indica que no lo soporta explícitamente. VACL is not supported with IPv6 on a Catalyst 6000 series switch.), por lo que el Switch lo tomaría ¿como capa 2 o capa 3?

La respuesta es que AMBOS!! y no funciona. En la práctica, si se trata de bloquear como capa 2:

mac access-list extended IPV6
 permit any any 0x0x86DD 0x0
!
vlan access-map VLAN56_FILTER 10
 match mac address IPV6
 action drop
!
! Apply the filter to the VLAN
!
vlan filter VLAN56_FILTER vlan-list 56

El resultado que se esperaría es que dentro de la vlan 56, tráfico IPV6 ya no sea permitido, pero sigue funcionando.

Ahora si intentamos bloquear todo:

!
vlan access-map VLAN56_FILTER 10
 action drop
!
! Apply the filter to the VLAN
!
vlan filter VLAN56_FILTER vlan-list 56

Inclusive con esta sentencia de bloquear todo (incluyendo capa 2 y capa 3), existe comunicación IPV6, por lo que la conclusión es que no puedes filtrar ipv6 usando VACL en un 3560.

Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License