Bu iki konu hakkinda yazilanlar okumaya baslamadan hemen önce daha önce yayinlanan iki makaleyide okumanizi tavsiye ederim. Bu makalelere asagidaki linklerden erisebilirsiniz.


Cisco IOS ile Paket Filtreleme 1
http://www.bilginipaylas.com/index.php?option=com_content&task=view&id=76&Itemid=34

Cisco IOS ile Paket Filtreleme 2
http://www.bilginipaylas.com/index.php?option=com_content&task=view&id=97&Itemid=1



Daha önceki makalelerimizde çogunluk ile kaynak ve hedef ip adreleri kullanarak paketlerimizi filtreledik. IP adreslerinin degisken oldugunu düsünürsek bazi durumlarda MAC adresleri kullanarakda erisimleri denetlemek isteyebiliriz. Aslinda bu tarz kurallarin olusturulmasinin hemen hemen ip adresleri ile olusturdugumuz listelerden farki yoktur.



MAC Access Control Lists’ de tipki digerleri gibi numarali veya isimli olarak olusturulabilirler. Genel mantigi tamamiyla aynidir. Burada uzun uzun bahsetmek yerine hem isimli hem de numarali yazilimina bir örnek vermenin anlasilmasi noktasinda daha etkili olacagini düsünüyoru. Bu arada hatirlatmakta fayda var ki, numarali MAC Access Lists yazilacak ise 700 – 799 arasinda bir numara seçilmelidir.



Asagidaki örneklerde numarali MAC Access List için 3640 serisi bir router, isimli MAC Access List için 3550 serisi bir switch kullanilmistir.

MAC access listler ile kaynak ve hedef adreslerin devaminda aslinda belirlenebilecek birçok kriterde vardir. Genel erisim denetlemesi için bukadari yeterlidir.

MAC Access Lists’in ardinda simdide Vlan Acccess Lists’i inceleyecegiz. Cisco Multilayer Switchler ile VLAN’lar arasinda erisim listeleri olusturmak Routerlardan farksizdir. Olusturulan erisim listeleri fiziksel interfaceler yerine VLANinterfacelerine yine “in” ya da “out” olarak uygulanabilirler. VLAN ACL’ler ise biraz farklidir. Burada ayni VLAN içerisindeki paketler için bazi erisim kurallari switchler üzerinde olusturulur.

VLAN ACL’lere bazi yerlerde Access Map dendiginide görebilirsiniz. Konfigürasyon sekli adim adim asagidaki gibidir;

1. IP Access listler hazirlanarak, Access MAP içerisindeki aksiyonlarimizin belirlenecegi ip adresleri grupnir
2. VLAN Access Map’ler olusturulur.
3. Olusturulan Access Map’ler VLAN Filter komutu ile istedigimiz VLAN’lara uygulanir.


Bu noktada VLAN Access Mapler içerisinde kullanabilecegimiz aksiyonlardan bahsetmek istiyorum. Benim burada kullandigim 3550 serisi switch üzerinde sadece drop ve forward aksiyonlari kullanilabilirken 6500 serisi switchlerde “Capture” ve “Redirect” aksiyonlarida mevcuttur.

Capture ile belirledigimiz paketleri istedigimiz bir porta daha yönlendirebiliriz. Genellikle IDS portu olarak kullanilan portala oldugunda kullanilabilecek bir özelliktir.

Redirect ile ise paketi tümüyle baska bir porta yönlendirebiliriz. Redirect edilen port Access Mapimizi uyguladigimiz Vlanlardan birine ait olmalidir.

Içerisinde MAC ACL’inde geçtigi bir uygulama yaparak daha iyi anlayacagimizi düsünüyorum.

Amaç: Vlan 5 de bulunan aaaa.aaaa.aaaa ve bbbb.bbbb.bbbb MAC adresleri arasindaki ARP paketlerini bloklamak.

ön Bilgi: ARP paketleri ethernet protokolü olarak 0x806 degerini kullanirlar.

Islem Basamaklari:

1. Ilgili MAC adreslerini içeren ACL yazilimi
2. VLAN Access-Map olusturulmasi
3. VLAN Filter komutu ile Access Map’in aktif hale getirilmesi

(Bu konfigürasyonlar cisco.com’dan alinmistir)

Switch(config)#mac access-list extended ARPPAKET
Switch(config-ext-nacl)#permit host aaaa.aaaa.aaaa host bbbb.bbbb.bbbb 0x806 0x0
Switch(config-ext-nacl)#end
Switch(config)#

ACL’i bu sekilde tanimladiktan sonra ikinci asamaya geçebiliriz.


Switch(config)#vlan access-map ARPBLOK 10
Switch (config-access-map)#action drop
Switch (config-access-map)#match mac address ARPPAKET

Burada ACL ile tanimladigimiz mac adresleri arasindaki paketleri blokladik. Kalan trafige izin vermek amaciyla aksiyonu forward olan asagidaki access-map konfigürasyonuda eklenmelidir.

Switch(config)#vlan access-map ARPBLOK 20
Switch (config-access-map)#action forward

Son olarak bu Access Map’i ilgili VLAN’da çalistirarak konfigürasyonumuzu sonlandirabiliriz;

Switch(config)#vlan filter ARPBLOK vlan-list 2

Genel bir aliskanlik olarak konfigürasyonlari kendim yapmadan makale tamamlamam. Konfigürasyonlar yapilirken alinan Screeshotlarin çok faydali oldugunu düsüdügüm için elimdeki 3550 serisi switch üzerinde bu konfigürasyonu tamamladim.

Evet bu makalemizde MAC ve VLAN ACL’ler üzerinde durmaya çalistik. Aslinda ACL’lerin genel çalisma mantigi tam olarak anlasildiktan sonra üzerinde çalisilarak bir çok sey yapilabilir. Benim burada yapmak istedigim sadece yapabilecekleriniz için ufkunuzu açmaya çalismaktan ibaretti. Yinede sorulari olanlar site üzerinde bana ulasabilir.


Herkese iyi çalismalar.


Hayrullah Kolukisaoglu


İlgili Diğer Makaleler

Cisco IOS Paket Filtreleme 1

Cisco IOS Paket Filtreleme 2 

Ortalama Üye Değerlendirmesi

   (0 Oylama)

Yorum Sayısı: 1 / 1