我有一个网络/VLAN,我想阻止一些流量并允许一些流量进入我的网络,使用 L2 或 L3 交换机可以实现吗?如果可以,哪些交换机支持此功能?配置此功能的命令是什么?
我已经尝试使用访问列表将其应用于以太网端口,但如果我将其应用于一个端口,它将自动处理该端口上的传入流量,但我的意思是它只根据我的 ACL 处理传出流量。
您有什么建议吗?
答案1
对于大多数 Cisco 交换机,您可以在交换机端口上应用 ACL,而无需处理任何路由问题。此功能适用于 Catalyst 2960G 等 L2 交换机。
答案2
访问列表(基本级别)仅适用于交换机上的第 3 层 VLAN(认为配置为“interface vlan 10”而不是“vlan 10”)。如果您将访问列表应用于接口,则需要使用“no switchport”命令将接口转换为路由端口。
这只能通过第 3 层交换机来实现,因为第 2 层交换机看不到您尝试过滤的第 3/4 层信息 - TCP 和 UDP 端口号。第 2 层处理的是 MAC 地址。
答案是在核心第 3 层交换机上创建第 3 层 VLAN。这些 VLAN 的 IP 地址将成为您分配给这些 VLAN 的计算机的默认网关。您还需要将端口分配给相应的 VLAN,并在交换机之间设置中继链路以传输第 2 层 VLAN 信息。
答案3
如果您有一个可以将 IP 地址应用于每个接口的第三层交换机,则可以使用 ACL 来过滤接口之间传递的流量;本质上是将交换机上的端口变成路由器端口,然后交换机在端口之间进行路由。