Ik probeer op een Cisco 2851 een mac address whitelist te maken. Zover ik dit weet kan dit op 2 manieren. Via NAC (en dan een RADIUS of win 2k8 NAP server). Of via een lijst ACL in de router. De laatste leek mij het beste omdat je dan niet meer afhankelijk bent van een server maar dat alles op de router plaatsvindt. Ik heb nu de interface GigabitEthernet0/0 in bridge-group 1 geplaatst en interface BVI1 aangemaakt. IP adressen overzetten enz enz. Werkt allemaal goed.
Om nu een whitelist te maken heb ik op de GigabitEthernet0/0 een ACL gezet: bridge-group 1 input-address-list 700.
Vervolgens heb ik de ACL 700 gemaakt:
access-list 700 permit 1111.2222.3333 0000.0000.0000
access-list 700 deny 0000.0000.0000 ffff.ffff.ffff
Gevolg: niemand kan het internet op, zelfs niet het permit mac-address. Achter de router (NAT) zit alleen maar een paar switches, dus mac-addressen zijn ongewijzigd.
Ook de router zelf is niet meer in staat om nog enig ping resultaat uit te poepen.
Wat is er nog mis?
Hier een samenvatting van de running config:
Om nu een whitelist te maken heb ik op de GigabitEthernet0/0 een ACL gezet: bridge-group 1 input-address-list 700.
Vervolgens heb ik de ACL 700 gemaakt:
access-list 700 permit 1111.2222.3333 0000.0000.0000
access-list 700 deny 0000.0000.0000 ffff.ffff.ffff
Gevolg: niemand kan het internet op, zelfs niet het permit mac-address. Achter de router (NAT) zit alleen maar een paar switches, dus mac-addressen zijn ongewijzigd.
Ook de router zelf is niet meer in staat om nog enig ping resultaat uit te poepen.
Wat is er nog mis?
Hier een samenvatting van de running config:
Current configuration : 13182 bytes ! no ip source-route ! ip dhcp pool LAN network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 212.142.28.66 212.142.28.130 option 150 ip 192.168.0.1 ! bridge irb ! interface Null0 no ip unreachables ! interface GigabitEthernet0/0 description WAN$ETH-WAN$ ip dhcp client update dns server none no ip address ip virtual-reassembly duplex auto speed auto bridge-group 1 bridge-group 1 input-address-list 700 bridge-group 1 spanning-disabled ! interface GigabitEthernet0/1 description $FW_INSIDE$int g ip address 192.168.0.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip flow ingress ip nat inside ip virtual-reassembly duplex auto speed auto no mop enabled h323-gateway voip interface h323-gateway voip bind srcaddr 192.168.0.1 ! interface BVI1 description $FW_OUTSIDE$ ip address dhcp no ip redirects no ip unreachables no ip proxy-arp ip flow ingress ip nat outside ip virtual-reassembly ! ! access-list 1 permit 192.168.0.0 0.0.0.255 access-list 700 permit 1111.2222.3333 0000.0000.0000 access-list 700 deny 0000.0000.0000 ffff.ffff.ffff ! bridge 1 protocol ieee bridge 1 route ip bridge 1 address 001d.608f.6519 discard ! end
/u/11917/cheshirecat.png?f=community)
/u/1503/crop601859cd0da3c_cropped.png?f=community)
)