取消
显示结果 
搜索替代 
您的意思是: 
cancel
2745
查看次数
34
有帮助
2
评论
lchuan
Cisco Employee
Cisco Employee
在nexus 9000上配置vlan access-map,对mac address进行过滤或者重定向时,有时会遇到策略不生效的情况,此时就需要对mac access-list进行修改,添加一些参数,来使它生效。
以下以C9372PX为例说明:
1. 先了解一下拓扑
150233gz8s88re1ys71928.png
192.168.123.1 mac address 188b.9d61.e401
192.168.123.2 mac addresss a80c.0d96.9aff
2. 客户的目的是在C9372px,通过vlan access-map将来自vlan 123的数据包重定向到e1/18接口。即:来自e1/49和e1/53的流量不能直接进行通信。客户的配置如下
hardware access-list tcam region qos 0
hardware access-list tcam region vacl 0
hardware access-list tcam region mac-vacl 256 <<<<<为mac-vacl分配tcam空间
mac access-list test01-acl
10 permit 188b.9d61.e4010000.0000.0000 any
20 permit a80c.0d96.9aff0000.0000.0000 any

vlan access-map test01-map 10
match mac address test01-acl
action redirect Ethernet1/18

vlan filter test01-map vlan-list 123

3. 测试过程
从192.168.123.1 ping 192.168.123.2,如果重定向生效,ping 会失败,经过测试发现ping是成功的,说明策略没有生效。

4. 对mac access-list进行修改,添加mac access-list封装的协议参数,如客户需要对arp,ip的流量根据源mac地址进行重定向
mac access-list test01-acl
10 permit 188b.9d61.e4010000.0000.0000 any 0x0800
20 permit 188b.9d61.e4010000.0000.0000 any 0x0806
30 permit a80c.0d96.9aff0000.0000.0000 any 0x0800
40 permit a80c.0d96.9aff0000.0000.0000 any 0x0806

5. 再次测试,arp解析失败,Ping失败,说明策略已经生效。

评论
one-time
Level 13
Level 13
感谢您的精彩分享~
Yanli Sun
Community Manager
Community Manager
感谢楼主分享 :handshake
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接