База знаний
Фильтрация пакетов PVST/PVST+ на коммутаторах
Автор Вагиз Кутляев на 09 April 2020 01:24 PM

При подключении коммутаторов Qtech к оборудованию Cisco, на котором используются протоколы PVST/PVST+ может возникнуть необходимость фильтровать пакеты данных протоколов. Так как пакеты PVST/PVST+ отличаются от стандартных BPDU, они пропускаются прозрачно на коммутаторах Qtech даже при использовании функционала BPDU Filtering.

Поэтому фильтровать пакеты протоколов PVST, PVST+ необходимо при помощи аксесс-листов. Это делается следующим образом:

Коммутаторы серии QSW-2800, 2850, 3000, 3400, 3450, 3470, 3580, 4610, 8200, 8250

Создаем mac access-list:
QSW(config)#access-list 1100 deny any-source-mac host-destination-mac 01-00-0c-cc-cc-cd

Применяем его на интерфейсе с которого поступают пакеты PVST:
QSW(config)#interface ethernet 1/0/1
QSW(config-if-ethernet1/0/1)#mac access-group 1100 in


Коммутаторы серии QSW-2900, 2910, 3900

Создаем access-list с указанием интерфейса, с которого поступают пакеты PVST/PVST+:
QSW(config)#access-list 299 deny ingress interface ethernet 0/0/1 egress 01:00:0C:CC:CC:CD 00:00:00:00:00:00
QSW(config)#access-group link-group 299 subitem 0

Коммутаторы серии QSW-4600, 6200, 6410, 6510

Создаем mac access-list:
QSW(config)#mac access-list extended 700
QSW(config-mac-nacl)#deny any host 0100.0ccc.cccd
QSW(config-mac-nacl)#permit any any

Применяем его на интерфейсе, где это нужно:
QSW(config-if-TenGigabitEthernet 0/9)#mac access-group 700 in/out

Коммутаторы серии QSW-3300, 3310, 3750, 8200-RQ

Создаем mac access-list
(QSW) (Config)#mac access-list extended PVST
(QSW) (Config-mac-access-list)#deny any 01:00:0C:CC:CC:CD ff:ff:ff:ff:ff:ff
(QSW) (Config-mac-access-list)#permit any any

Применяем его на интерфейсе с которого поступают пакеты PVST/PVST+:
(QSW) (Config)#interface 1/0/5
(QSW) (Interface 1/0/5)#mac access-group PVST in

Коммутаторы серии QSW-4000, 8330

Для отключения отправки BPDU пакетов используется команда:
QSW_config_g0/1#spanning-tree bpdufilter enable
Для фильтрации входящих BPDU-пакетов команда:
QSW_config_g0/1#filter bpdu

Для фильтрации PVST/PVST+ используйте аксесс-лист:
QSW_config#mac access-list PVST
QSW-config-macl#deny any host 0100.0ccc.cccd
QSW-config-macl#permit any any


применяем его на нужном интерфейсе для входящих пакетов:
QSW_config_g0/1#mac access-group PVST
Либо для исходящих пакетов:
QSW_config_g0/2#mac access-group PVST egress

(3 голос(а))
Эта статья полезна
Эта статья бесполезна

Комментарии (0)