ACL MAC sur M4300

Bonjour

J'essai de bloquer les ports de mon switch, par les adresses mac, mais j'avoue ne pas comprendre la logique des blocages.

--J'ai crée un acl lolo dans lequel je met seulement la MAC "68:FE:F7:02:41:CF" en source avec le mask ff:ff:ff:ff:ff:ff:ff et permit, et match every false, et en destination la mac adress de mon serveur et mask ff:ff:ff:ff:ff:ff:ff

--J'ai crée un acl mac unicast dans lequel je met seulement la MAC "70:CD:60:AA:BF:E1" en source avec le mask ff:ff:ff:ff:ff:ff:ff et permit, et match every false, et en destination la mac adress de mon serveur et mask ff:ff:ff:ff:ff:ff:ff

Si je me trompe pas un mask avec ff:ff:ff:ff:ff:ff:ff, prendra en compte qu'une mac adress precise.

Puis j'applique chaque acl au port voulu, malgres cela, cela ne bloque rien.

J'ai reussi a bloquer les ports, en mettant dans mon rules uniquement:

MAC "68:FE:F7:02:41:CF" source avec le mask ff:ff:ff:ff:ff:ff:ff et deny.

En faisant comme cela, il faudrait que je créais autant de sequence number que d'adress mac dans les rules.

Je pense qu'il sois possible de bloquer un port, a toute adress mac précise, sans se lancer dans des configurations compliquées.

Merci d'avance

lolo

ValerieD
Apr 28, 2022
Bonjour lolo2000,

Le sequence number permet de définir l'ordre de réalisation des règles comme indiqué dans la documentation disponible içi :

https://www.downloads.netgear.com/files/GDC/M4300/M4300_M4300-96X_UM_EN.pdf

Bonne journée à vous,
Valérie D
Equipe Netgear

10 Replies

lolo2000
Aspirant
Apr 26, 2022
Bonjour
J'ai reussi a bloquer les ports en utilisant le masque MAC 00:00:00:00:00:00
En revanche je ne comprend l'interet du sequence number, pourriez vous me donner plus d'info sur ce sujet.
Merci d'avance
lolo
- ValerieD
  Community Manager
  Apr 27, 2022
  Bonjour lolo2000,
  
  Pour votre premier post:
  
  Si vous souhaitez faire ce que j'ai compris à savoir :
  Filtrer les entrées sur ses ports grâce à des adresses MAC (et que ce soit les même entrées autorisées sur tous les ports), vous devez :
  -Créer une ACL Mac dans : Security /ACL/Basic / Mac ACL
  -Créer vos différentes règles (une par adresse MAC) dans Security /ACL/Basic / Mac rules
  -Lier votre règle à vos ports du switch dans : Security /ACL/Basic / MAC Binding Configuration
  
  Concernant les règles MAC (ACL rules), il n'est obligatoire de compléter :
  -la séquence number (qui gère la priorité des règles)
  -l'action à mener (permit ou deny)
  -l'adresse MAC
  -le masque mac sous réseau
  
  Pour plus d'informations sur les autres paramètres voyez ici : https://www.downloads.netgear.com/files/GDC/M4300/M4300_M4300-96X_UM_EN.pdf - p606
  
  Vous devriez également mettre en place une règle générique "permit" (avec le séquence number le plus élevé) comme pour les ACL créées précédemment niveau IP
  Dernier point attention au sens de votre règle comme sur les ACL d'adresse IP
  -inbound : ACL est traitée pour les communications entrantes vers le switch
  -outbound : traite les communications sortantes
  
  Pour votre second post:
  
  Au sein d'une ACL nous pouvons créer plusieurs règles, il est donc nécessaire de prioriser les règles (étant donné que le switch les traites une après l'autre). Le séquence number permet donc de définir l'ordre de traitement des règles. De la même façon que pour les ACL créées précédemment avec les adresses IP, le sequence number le plus faible sera la règle traitée par le switch en premier.
  Tout comme dans ce cas il est également nécessaire de mettre une règle permit à la fin, la logique des ACL étant similaire entre les ACL MAC ou ACL extended.
  
  Bonne journée à vous,
  Valérie D
  Equipe Netgear
  - lolo2000
    Aspirant
    Apr 27, 2022
    bonjour
    merci pour votre reponse
    Ce que j'ai fais et qui m'a l'air fonctionnel:
    J'ai crée une ACL IP avec comme rules, exactement ce que vous m'aviez dit, c'est a dire:
    source 192.168.200.0 mask 0.0.0.255 vers 192.168.200.6 mask 0.0.0.0 en permit en sequence number 10
    source 192.168.200.0 mask 0.0.0.255 vers 192.168.200.0 mask 0.0.0.255 en deny sequence number 20
    Puis j'ai affecter cette ACL sur chaque port avec le Binding config.
    
    Puis j'ai crée contrairement à vous une ACL mac par machine.
    Avec chacune un rules.
    Car si je créais une ACL avec un rules dans lequel il y a toute les adress mac, cela rend permisif toutes les adress mac sur un port,enfin je pense (la je veux un port=1 adress mac)
    Je reviens a mon explication:
    
    Une ACL MAC (user1) dans laquelle j'ai intégré un rules avec la mac Adress source et destination, en permit, pour le VLAN200, d'ailleurs je suis surpris qu'il ne faille pas mettre le mask mac, c'est lui qui determine quel bit choisir dans la mac adress, un peut comme le masque sous reseau.
    
    Puis une autre ACL MAC(user2) avec un rules et source/ dest
    
    Je bind tout cela
    En revanche j'ai ete confronté a un probleme, je ne suis pas certain d'avoir compris.
    Pour plus de compréhension je vous envoies des captures d'écran.
    Mais en gros, j'ai mis dans le binding des ACL IP la sequence number sur 1
    Puis j'ai mis dans le binding des ACL MAC la sequence number sur 1
    --Si je ne faisais pas cela, cela ne fonctionnait pas.
    Pendant mes test cela fonctionnait, en revanche apres sauvegarde de la config sur le switch et aussi un export text configuration, j'ai éteint le switch, et au rallumage, il avait perdu les sequences number.
    J'ai donc mis la sequence number des binding ACL IP sur 1et binding ACL MAC sur 2
    j'ai sauvegardé, éteint le switch, et là, il a bien gardé la configuration.
    Mais pas sur de comprendre l'intérêt des sequences number sur les bindings ACL MAC et IP
    
    lolo

Forum Discussion

ACL MAC sur M4300

10 Replies

Related Content

M4300 ACL Help - Multicast traffic ignoring ACL

ACL rules M4300

NETGEAR GS316EP switch supports MAC ACL?

TCP Port ACL rules M4300 Help

M4300 ACL's

NETGEAR Academy

ProSupport for Business