ACL MAC sur M4300

ValerieD
Community Manager
Apr 27, 2022
Bonjour lolo2000,

Pour votre premier post:

Si vous souhaitez faire ce que j'ai compris à savoir :
Filtrer les entrées sur ses ports grâce à des adresses MAC (et que ce soit les même entrées autorisées sur tous les ports), vous devez :
-Créer une ACL Mac dans : Security /ACL/Basic / Mac ACL
-Créer vos différentes règles (une par adresse MAC) dans Security /ACL/Basic / Mac rules
-Lier votre règle à vos ports du switch dans : Security /ACL/Basic / MAC Binding Configuration

Concernant les règles MAC (ACL rules), il n'est obligatoire de compléter :
-la séquence number (qui gère la priorité des règles)
-l'action à mener (permit ou deny)
-l'adresse MAC
-le masque mac sous réseau

Pour plus d'informations sur les autres paramètres voyez ici : https://www.downloads.netgear.com/files/GDC/M4300/M4300_M4300-96X_UM_EN.pdf - p606

Vous devriez également mettre en place une règle générique "permit" (avec le séquence number le plus élevé) comme pour les ACL créées précédemment niveau IP
Dernier point attention au sens de votre règle comme sur les ACL d'adresse IP
-inbound : ACL est traitée pour les communications entrantes vers le switch
-outbound : traite les communications sortantes

Pour votre second post:

Au sein d'une ACL nous pouvons créer plusieurs règles, il est donc nécessaire de prioriser les règles (étant donné que le switch les traites une après l'autre). Le séquence number permet donc de définir l'ordre de traitement des règles. De la même façon que pour les ACL créées précédemment avec les adresses IP, le sequence number le plus faible sera la règle traitée par le switch en premier.
Tout comme dans ce cas il est également nécessaire de mettre une règle permit à la fin, la logique des ACL étant similaire entre les ACL MAC ou ACL extended.

Bonne journée à vous,
Valérie D
Equipe Netgear
- lolo2000
  Aspirant
  Apr 27, 2022
  bonjour
  merci pour votre reponse
  Ce que j'ai fais et qui m'a l'air fonctionnel:
  J'ai crée une ACL IP avec comme rules, exactement ce que vous m'aviez dit, c'est a dire:
  source 192.168.200.0 mask 0.0.0.255 vers 192.168.200.6 mask 0.0.0.0 en permit en sequence number 10
  source 192.168.200.0 mask 0.0.0.255 vers 192.168.200.0 mask 0.0.0.255 en deny sequence number 20
  Puis j'ai affecter cette ACL sur chaque port avec le Binding config.
  
  Puis j'ai crée contrairement à vous une ACL mac par machine.
  Avec chacune un rules.
  Car si je créais une ACL avec un rules dans lequel il y a toute les adress mac, cela rend permisif toutes les adress mac sur un port,enfin je pense (la je veux un port=1 adress mac)
  Je reviens a mon explication:
  
  Une ACL MAC (user1) dans laquelle j'ai intégré un rules avec la mac Adress source et destination, en permit, pour le VLAN200, d'ailleurs je suis surpris qu'il ne faille pas mettre le mask mac, c'est lui qui determine quel bit choisir dans la mac adress, un peut comme le masque sous reseau.
  
  Puis une autre ACL MAC(user2) avec un rules et source/ dest
  
  Je bind tout cela
  En revanche j'ai ete confronté a un probleme, je ne suis pas certain d'avoir compris.
  Pour plus de compréhension je vous envoies des captures d'écran.
  Mais en gros, j'ai mis dans le binding des ACL IP la sequence number sur 1
  Puis j'ai mis dans le binding des ACL MAC la sequence number sur 1
  --Si je ne faisais pas cela, cela ne fonctionnait pas.
  Pendant mes test cela fonctionnait, en revanche apres sauvegarde de la config sur le switch et aussi un export text configuration, j'ai éteint le switch, et au rallumage, il avait perdu les sequences number.
  J'ai donc mis la sequence number des binding ACL IP sur 1et binding ACL MAC sur 2
  j'ai sauvegardé, éteint le switch, et là, il a bien gardé la configuration.
  Mais pas sur de comprendre l'intérêt des sequences number sur les bindings ACL MAC et IP
  
  lolo
  - lolo2000
    Aspirant
    Apr 27, 2022
    la suite de capture d'ecran
- ValerieD
  Community Manager
  Apr 28, 2022
  Bonjour lolo2000,
  
  Le sequence number permet de définir l'ordre de réalisation des règles comme indiqué dans la documentation disponible içi :
  
  https://www.downloads.netgear.com/files/GDC/M4300/M4300_M4300-96X_UM_EN.pdf
  
  Bonne journée à vous,
  Valérie D
  Equipe Netgear
  - lolo2000
    Aspirant
    May 16, 2022
    Bonjour
    Pourriez vous regarder ma config, que je vous transmet par screenshot.
    j'ai crée des IP ACL donnant acces à 2 serveurs 192.168.200.6 et .8 pour un enssemble de machines.(bien sur je n'ai pas bindé les ports des serveurs)
    Cela fonctionne plutot bien, je voudrais que vous me confirmiez que la config effectué est correct.
    Mais j'ai tout un problème, apres avoir mis en place des MAC ACL
    Comme vous pourrez voir chaque machine, et serveurs a une MAC ACL, le problème est le suivant:
    j'ai mis en place les acl vendredi, et cela me paraissait fonctionnel,ce matin lundi, j'ai redemaré une des machines (PC1) et la impossible de remonter les volumes depuis (192.168.200.6 et 😎
    J'ai donc enlevé les bindings ACL MAC sur tout les ports, et la c'est de nouveau fonctionnel.
    --Comme vous pourrez le voir les 2 NAS ont chacun un rules mais seulement en source.
    
    J'ai donc plusieurs interrogations, pour bloquer uniquement les mac adress, ne faudrait il pas que pour chaque machines,et serveurs, je créais une ACL mac, sur laquelle je renseigne uniquement, la MAC source?
    -- Sur la config certaine machine comme le DATA1 ont acces uniquement au serveur 192.168.200.6(mac adress 00:11:32:BE:FC:04)
    --Les machines (DELL-PC1) ont acces à 2 serveurs, j'ai renseigné les 2 MAC adress des 2 serveurs, est ce utile?
    Je vous remercie d'avance.
    lolo
    2758_001.pdf303 KB

Forum Discussion

Related Content

M4300 ACL Help - Multicast traffic ignoring ACL

ACL rules M4300

M4300 ACL's

TCP Port ACL rules M4300 Help

NETGEAR GS316EP switch supports MAC ACL?

NETGEAR Academy

ProSupport for Business