Skip to content

Настройка EtherType based ACL

Описание и назначение функции

EtherType based ACL позволяет фильтровать трафик на основе значения поля EtherType в заголовке Ethernet-кадра. Поле EtherType идентифицирует протокол верхнего уровня, инкапсулированный в кадре, и занимает 2 октета.

Основные сценарии использования:

  • Блокировка ARP-трафика на определенных интерфейсах для предотвращения ARP-spoofing
  • Разделение IPv4 и IPv6 трафика на канальном уровне
  • Фильтрация нестандартных протоколов (MPLS, FCoE, LLDP)
  • Ограничение служебного трафика (CDP, LLDP, 802.1X) на граничных портах

Применяется на физических интерфейсах, bundle-интерфейсах и VLAN, работает на канальном уровне независимо от IP-адресации.

Необходимые условия и предварительные требования

Для настройки EtherType based ACL требуется:

  • Физический доступ к коммутатору или активная SSH-сессия
  • Права уровня Privileged EXEC (режим enable)
  • Версия ПО: v1.0.2 и выше (серия CIT L3200)
  • Определен список разрешенных/запрещенных значений EtherType для политики безопасности

Примечание: EtherType ACL применяется только к входящему трафику (direction in). Применение на интерфейсе автоматически активирует правила.

Назначение команд конфигурации

Команда Режим Назначение
filter-list <10-2999> name <NAME> Global config Создает именованный список фильтрации L2 (10-2999 для MAC/EtherType ACL)
filter <priority> mac <src> <dst> eth-type <type> Configure-filter-l2 Определяет правило сопоставления по MAC-адресам и типу Ethernet
filter <priority> action <permit\|deny> Configure-filter-l2 Назначает действие для правила с указанным приоритетом
interface <type> <id> Global config Входит в режим конфигурации интерфейса
filter-list in <list-id> Interface config Применяет список фильтрации на входящий трафик интерфейса
show filter-list <list-id> Privileged EXEC Отображает конфигурацию указанного списка фильтрации
show filter-list interface Privileged EXEC Показывает привязку списков фильтрации к интерфейсам

Конфигурация требует создания списка фильтрации с правилами и последующего применения на интерфейсах.

Пример конфигурирования

Пошаговые инструкции

Шаг 1: Вход в режим глобальной конфигурации

Switch>enable
Switch#configure

Переход в привилегированный режим и режим глобальной конфигурации.

Шаг 2: Создание именованного списка фильтрации

Switch(config)#filter-list 11 name ETHERTYPE_ARP_DENY
Switch(configure-filter-l2-11)#

Создается список фильтрации с идентификатором 11 (диапазон L2 ACL: 10-2999) и именем ETHERTYPE_ARP_DENY.

Шаг 3: Определение правила блокировки ARP

Switch(configure-filter-l2-11)#filter 10 mac any any eth-type arp
Switch(configure-filter-l2-11)#filter 10 action deny

Правило с приоритетом 10 сопоставляет все кадры с EtherType 0x0806 (ARP) и блокирует их. Параметр any any указывает на сопоставление любых MAC-адресов источника и назначения.

Шаг 4: Создание разрешающего правила по умолчанию

Switch(configure-filter-l2-11)#filter 100 mac any any
Switch(configure-filter-l2-11)#filter 100 action permit

Правило с приоритетом 100 разрешает весь остальной трафик. Обязательно для явного разрешения трафика, не попавшего под предыдущие правила.

Шаг 5: Выход из режима конфигурации фильтра

Switch(configure-filter-l2-11)#exit
Switch(config)#

Возврат в режим глобальной конфигурации.

Шаг 6: Применение ACL на интерфейсе

Switch(config)#interface 10gigaethernet 1/0/1
Switch(config-10ge1/0/1)#filter-list in 11
Switch(config-10ge1/0/1)#exit

Список фильтрации 11 применяется на входящий трафик интерфейса 10GE 1/0/1. ARP-запросы и ответы, поступающие на этот интерфейс, будут отброшены.

Шаг 7: Сохранение конфигурации

Switch(config)#exit
Switch#write

Выход из режима конфигурации и сохранение изменений в энергонезависимую память.

Полный вывод выполненных конфигураций

Команды для copy-paste в режиме privileged EXEC:

configure
filter-list 11 name ETHERTYPE_ARP_DENY
filter 10 mac any any eth-type arp
filter 10 action deny
filter 100 mac any any
filter 100 action permit
exit
interface 10gigaethernet 1/0/1
filter-list in 11
exit
exit
write

Вывод show running-config:

!
filter-list 11 name ETHERTYPE_ARP_DENY
 filter 10 mac any any eth-type arp 
 filter 10 action deny
 filter 100 mac any any 
 filter 100 action permit
!
interface 10gigaethernet 1/0/1
 filter-list in name ETHERTYPE_ARP_DENY
!

Изучение состояния устройства

Просмотр конфигурации

Проверка активной конфигурации:

Switch#show running-config

Обратите внимание на строки:

  • filter-list 11 name ETHERTYPE_ARP_DENY — имя и идентификатор списка
  • filter 10 mac any any eth-type arp — правило сопоставления по EtherType
  • filter 10 action deny — действие блокировки
  • filter 100 action permit — разрешение остального трафика

Просмотр параметров работы

Проверка конфигурации списка фильтрации:

Switch#show filter-list 11

 filter-list 11 name ETHERTYPE_ARP_DENY filter 2
 filter-list 11 name ETHERTYPE_ARP_DENY 
 filter 10 mac any any eth-type arp 
 filter 10 action deny

 filter 100 mac any any 
 filter 100 action permit

Строка filter 2 указывает количество правил в списке.

Просмотр привязки к интерфейсам:

Switch#show filter-list interface
  Filter-list Interface      Dir Name                                                            
  11          10ge1/0/1      In  ETHERTYPE_ARP_DENY          <---- ACL активен на интерфейсе

Колонка Dir показывает направление применения (In — входящий трафик).

Проверка статистики:

Switch#show filter-list statistic

Команда отображает счетчики сопоставлений для правил с активированным параметром counter.

Рекомендации выполнения команд и настроек

  1. Порядок правил и приоритеты
    • Используйте приоритеты с шагом 10 (10, 20, 30) для возможности вставки правил между существующими
    • Правила обрабатываются в порядке возрастания приоритета — первое совпадение определяет действие
    • Всегда завершайте ACL явным разрешающим правилом с высоким приоритетом (100, 200)
  2. Значения EtherType
    • Используйте символьные имена вместо шестнадцатеричных значений: arp, ipv4, ipv6
    • Для нестандартных протоколов указывайте значение в формате 0x<hex> (например, 0x8100 для 802.1Q)
    • Полный список зарегистрированных значений доступен в реестре IEEE
  3. Область применения
    • EtherType ACL применяется на физических интерфейсах, bundle и VLAN-интерфейсах
    • Один интерфейс может иметь только один активный список фильтрации для направления in
    • При назначении нового списка предыдущий автоматически удаляется
  4. Безопасность и изоляция
    • Блокировка ARP предотвращает разрешение адресов — используйте статические записи ARP
    • На граничных портах рекомендуется блокировать CDP (0x2000), LLDP (0x88CC), DTP
    • Для защиты от ARP-spoofing комбинируйте EtherType ACL с Dynamic ARP Inspection
  5. Производительность
    • EtherType ACL обрабатывается аппаратно (TCAM), не влияет на пропускную способность
    • Избегайте чрезмерного количества правил (более 50) на одном интерфейсе
    • Размещайте наиболее частые совпадения в начале списка (меньший приоритет)

История возникновения команды

Команды в данной главе применимы для:

  • Аппаратных платформ CIT серии L3200 с установленной версией ПО v1.0.2 и выше
  • Являются актуальными с версии ПО v1.0.2

Функциональность EtherType based ACL введена для обеспечения фильтрации на канальном уровне независимо от сетевого протокола.

Ссылка на внешнюю документацию

IEEE 802.3 Ethernet Standard и IEEE Registration Authority EtherType. При возникновении вопросов обратитесь к технической поддержке.