思科Layer2 ACL和STP

Question

我在一个由2960 X交换机组成的午餐上创建了一个Mac-ACL，以限制用户只访问互联网网关。

mac access-list extended PROTECTED
 permit any host ffff.ffff.ffff 0x800 0x0
 permit any host ffff.ffff.ffff 0x806 0x0
 permit any host ffff.ffff.ffff 0x86DD 0x0
 permit any host dead.beef.cafe 0x800 0x0
 permit any host dead.beef.cafe 0x806 0x0
 permit any host dead.beef.cafe 0x86DD 0x0
deny   any any

"dead.beef.cafe“是Fortinet防火墙。

单独使用“开关端口保护”并不是一种选择，因为此功能仅限于一个交换机。当这个解决方案实现时，我不知道私有VLAN的概念。

interface GigabitEthernet1/0/2
  description Room X
  switchport access vlan 101
  switchport voice vlan 102
  switchport mode access
  switchport port-security maximum 3 vlan access
  switchport port-security
  switchport port-security violation protect
  mac access-group PROTECTED in
  no lldp transmit
  spanning-tree portfast
  spanning-tree bpduguard enable
 end

今天，这个配置出现了一个问题。所有边缘端口都配置了BPDUGUARD，以便在接收到STP数据包时错误禁用端口。Mac在BPDUGUARD之前执行.因此，在两个开关端口之间发生循环的情况下，ACL正在过滤BPDU，而BPDUGUARD不再起作用。

不幸的是，当我们实现这个网络时，我不太熟悉孤立的私有VLAN的概念。同时，我发现用专用VLAN分割网络比使用Mac更好。为了解决这个循环问题，我想避免重新设计整个网络。

有什么解决办法吗？

问候安德烈亚斯

Answer 1

您永远不应该阻止OUI (01-80-C2)的第二层，链路本地协议.该OUI用于LLDP、BPDU、802.1X等链路层协议，它是一种多播路由，遵循IEEE802.1D(生成树)标准的网桥(包括交换机)永远不会将这些帧发送到另一个接口。

如果您正在使用PVST，那么BPDU将使用不同的MAC地址：01:00:0C:CC:CC:CD。