subject:"\[FRnOG\] \[TECH\] MAC ACL Vendor list sur switch CISCO"

Re: [FRnOG] [TECH] MAC ACL Vendor list sur switch CISCO

2019-08-05 Par sujet rama



Hello,

Un radius avec 802.1x/DHCP aiderait pas ?
Ça te ferait un seul endroit où gérer tes ACL/regex pour tous les switch 
concernés.

David

> 
> 
>> Le 1 août 2019 à 14:02, Sébastien 65  a écrit :
>> 
>> Bonjour à tous,
>> 
>> Je ne sais pas cela est possible, je pose quand même la question car rien 
>> trouvé !
>> 
>> Est-il possible sur des switch CISCO (3750G,3750X) de créer une ACL afin 
>> d'autoriser les MAC par constructeur sans devoir les rajouter une à une ?
>> 
>> Par exemple je veux autoriser uniquement les MAC du constructeur DELL 
>> (Permit 00c0.4f* Permit 0008.74*), HP et CISCO, le reste DENY sur le VLAN 12.
>> 
>> Le VLAN 12 ne peut avoir que du matériel DELL/HP/CISCO et rien d'autre, donc 
>> si un truc avec une @MAC est différente alors bloquer ARP/présence sur le 
>> réseau.
>> 
>> Pour le moment je fais du ip arp inspection filter mais fastidieux à 
>> maintenir surtout quand la liste s'allonge :(
>> 
>> Je cherche à faire un truc du genre (attention je n'ai absolument pas essayé 
>> !)
>> !
>> interface g1/0/1
>> switchport access vlan12
>> mac access-group MAC in
>> !
>> mac access-list extended MAC
>> permit host 00C0.4FFF. any
>> permit host 0008.74FF. any
>> deny any any
>> !
>> 
>> Une idée sur comment faire ce que je cherche ou faut-il faire à la mano MAC 
>> par MAC ?
>> 
>> Sébastien
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> David Ponzone  Direction Technique
> email: david.ponz...@ipeva.fr 
> tel:  01 74 03 18 97
> gsm:   06 66 98 76 34
> 
> Service Client IPeva
> tel:  0811 46 26 26
> www.ipeva.fr http://www.ipeva.fr/>  -   www.ipeva-studio.com 
> http://www.ipeva-studio.com/>
> 
> Ce message et toutes les pièces jointes sont confidentiels et établis à 
> l'intention exclusive de ses destinataires. Toute utilisation ou diffusion 
> non autorisée est interdite. Tout message électronique est susceptible 
> d'altération. IPeva décline toute responsabilité au titre de ce message s'il 
> a été altéré, déformé ou falsifié. Si vous n'êtes pas destinataire de ce 
> message, merci de le détruire immédiatement et d'avertir l'expéditeur.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] MAC ACL Vendor list sur switch CISCO

2019-08-02 Par sujet David Ponzone

J’ai jamais réussi sur un routeur Cisco, ce qui est bien dommage.

Au niveau d’un switch, je vois pas pourquoi ça passerait pas.
Pourquoi tu essaies pas ?


> Le 1 août 2019 à 14:02, Sébastien 65  a écrit :
> 
> Bonjour à tous,
> 
> Je ne sais pas cela est possible, je pose quand même la question car rien 
> trouvé !
> 
> Est-il possible sur des switch CISCO (3750G,3750X) de créer une ACL afin 
> d'autoriser les MAC par constructeur sans devoir les rajouter une à une ?
> 
> Par exemple je veux autoriser uniquement les MAC du constructeur DELL (Permit 
> 00c0.4f* Permit 0008.74*), HP et CISCO, le reste DENY sur le VLAN 12.
> 
> Le VLAN 12 ne peut avoir que du matériel DELL/HP/CISCO et rien d'autre, donc 
> si un truc avec une @MAC est différente alors bloquer ARP/présence sur le 
> réseau.
> 
> Pour le moment je fais du ip arp inspection filter mais fastidieux à 
> maintenir surtout quand la liste s'allonge :(
> 
> Je cherche à faire un truc du genre (attention je n'ai absolument pas essayé 
> !)
> !
> interface g1/0/1
> switchport access vlan12
> mac access-group MAC in
> !
> mac access-list extended MAC
> permit host 00C0.4FFF. any
> permit host 0008.74FF. any
> deny any any
> !
> 
> Une idée sur comment faire ce que je cherche ou faut-il faire à la mano MAC 
> par MAC ?
> 
> Sébastien
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

David Ponzone  Direction Technique
email: david.ponz...@ipeva.fr 
tel:  01 74 03 18 97
gsm:   06 66 98 76 34

Service Client IPeva
tel:  0811 46 26 26
www.ipeva.fr http://www.ipeva.fr/>  -   www.ipeva-studio.com 
http://www.ipeva-studio.com/>

Ce message et toutes les pièces jointes sont confidentiels et établis à 
l'intention exclusive de ses destinataires. Toute utilisation ou diffusion non 
autorisée est interdite. Tout message électronique est susceptible 
d'altération. IPeva décline toute responsabilité au titre de ce message s'il a 
été altéré, déformé ou falsifié. Si vous n'êtes pas destinataire de ce message, 
merci de le détruire immédiatement et d'avertir l'expéditeur.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] MAC ACL Vendor list sur switch CISCO

2019-08-01 Par sujet Jugurta Yennek


Bonjour Sébastien,

Je n'ai jamais fait mais tu as regardé du coté du 802.1x MAC Auth 
combiné à un Free Radius pour déporter ta policy ?


Jugurta

Le 2019-08-01 14:02, Sébastien 65 a écrit :

Bonjour à tous,

Je ne sais pas cela est possible, je pose quand même la question car
rien trouvé !

Est-il possible sur des switch CISCO (3750G,3750X) de créer une ACL
afin d'autoriser les MAC par constructeur sans devoir les rajouter une
à une ?

Par exemple je veux autoriser uniquement les MAC du constructeur DELL
(Permit 00c0.4f* Permit 0008.74*), HP et CISCO, le reste DENY sur le
VLAN 12.

Le VLAN 12 ne peut avoir que du matériel DELL/HP/CISCO et rien
d'autre, donc si un truc avec une @MAC est différente alors bloquer
ARP/présence sur le réseau.

Pour le moment je fais du ip arp inspection filter mais fastidieux à
maintenir surtout quand la liste s'allonge :(

Je cherche à faire un truc du genre (attention je n'ai absolument pas 
essayé !)

!
interface g1/0/1
switchport access vlan12
mac access-group MAC in
!
mac access-list extended MAC
permit host 00C0.4FFF. any
permit host 0008.74FF. any
deny any any
!

Une idée sur comment faire ce que je cherche ou faut-il faire à la
mano MAC par MAC ?

Sébastien

---
Liste de diffusion du FRnOG
http://www.frnog.org/




0x9AB2892A.asc
Description: application/pgp-keys


signature.asc
Description: OpenPGP digital signature

[FRnOG] [TECH] MAC ACL Vendor list sur switch CISCO

2019-08-01 Par sujet Sébastien 65

Bonjour à tous,

Je ne sais pas cela est possible, je pose quand même la question car rien 
trouvé !

Est-il possible sur des switch CISCO (3750G,3750X) de créer une ACL afin 
d'autoriser les MAC par constructeur sans devoir les rajouter une à une ?

Par exemple je veux autoriser uniquement les MAC du constructeur DELL (Permit 
00c0.4f* Permit 0008.74*), HP et CISCO, le reste DENY sur le VLAN 12.

Le VLAN 12 ne peut avoir que du matériel DELL/HP/CISCO et rien d'autre, donc si 
un truc avec une @MAC est différente alors bloquer ARP/présence sur le réseau.

Pour le moment je fais du ip arp inspection filter mais fastidieux à maintenir 
surtout quand la liste s'allonge :(

Je cherche à faire un truc du genre (attention je n'ai absolument pas essayé !)
!
interface g1/0/1
switchport access vlan12
mac access-group MAC in
!
mac access-list extended MAC
permit host 00C0.4FFF. any
permit host 0008.74FF. any
deny any any
!

Une idée sur comment faire ce que je cherche ou faut-il faire à la mano MAC par 
MAC ?

Sébastien

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] MAC ACL Vendor list sur switch CISCO

Re: [FRnOG] [TECH] MAC ACL Vendor list sur switch CISCO

Re: [FRnOG] [TECH] MAC ACL Vendor list sur switch CISCO

[FRnOG] [TECH] MAC ACL Vendor list sur switch CISCO

4 matches

Site Navigation

Mail list logo

Footer information