我有一台 Dell 6224 powerconenct 交换机,作为我们网络的核心交换机。我配置了许多 VLAN,现在是时候考虑阻止特定 VLAN 之间的流量了。
我目前使用 VLAN 2 - 10,它们各自的子网是 10.58。五.0/24(其中五是VLAN ID)。每个VLAN上的路由器接口为10.58。五.1
例如 VLAN 5 使用 10.58.5.0/24,网关为 10.58.5.1
我想要做的是阻止 VLAN 5 和 VLAN 8 之间的所有 IP 流量,即,IP 在 10.58.5.0/24 范围内的任何事物都无法与 10.58.8.0/24 中的任何事物通信,反之亦然。
因为这是一个生产网络(并且我没有可用的测试环境),所以我不想直接开始创建 ACL,以防搞砸了。
我的第一个想法是创建一个访问列表,例如......
access-list testacl deny ip 10.58.5.0 255.255.255.0 10.58.8.0 255.255.255.0
但我真的不知道这是否需要分配给特定的接口?
更新:
我一直在进一步阅读并意识到我现在需要为其他所有内容添加允许规则,否则隐含的拒绝所有规则将阻止所有内容,所以我的 testacl 现在看起来像这样:
access-list testacl deny ip 10.58.5.0 255.255.255.0 10.58.8.0 255.255.255.0
access-list testacl permit every
但我仍然不确定这是否正确,并希望得到任何帮助,因为我不想在没有完全了解我正在做的事情的其他可能的副作用的情况下冒险重新配置生产交换机。
答案1
我不喜欢回答自己的问题,但是现在我已经解决了这个问题,这可能会对其他人有所帮助。
首先,上面的网络掩码不正确,我应该使用外卡面具
经过一番研究,我发现创建 ACL 的正确命令是:
access-list testacl deny ip 10.58.5.0 0.0.0.255 10.58.8.0 0.0.0.255
access-list testacl permit every
...为了应用 ACL,我使用了以下命令:
interface vlan 5
ip access-group testacl
经过我的研究,我有信心将 ACL 应用于生产交换机,并且这一改变完美地完成了。