我似乎无法让 Vlan ACL 正常工作。我希望在通过 VPN 连接时能够访问 10.100.xx 网络以及 10.200.xx 网络上的服务器。但是,我想阻止 10.100.xx 网络看到 10.200.xx
目前,我有 2 个 Vlan:
interface Vlan111
description "vlan 111"
ip address 10.100.1.1 255.255.255.0
interface Vlan222
description "vlan 222"
ip address 10.200.1.1 255.255.255.0
ip access-group vlan222_acl in
ip access-group vlan222_acl out
我有 2 台服务器连接到每个 VLAN:
!--- the below port is connected to a windows machine with static ip address 10.100.1.10 and gateway 10.100.1.1
interface FastEthernet0/4
description server 1
switchport access vlan 111
switchport mode access
!--- the below port is connected to a windows machine with static ip address 10.200.1.10 and gateway 10.200.1.1
interface FastEthernet0/5
description server 2
switchport access vlan 222
switchport mode access
问题出在我配置vlan222_acl的时候。
这是我输入的内容:
ip access-list extended vlan222_acl
deny icmp 10.100.0.0 255.255.0.0 10.200.0.0 255.255.0.0
但以下是应用于运行配置的内容:
ip access-list extended vlan222_acl
deny icmp 0.0.0.0 255.255.0.0 0.0.0.0 255.255.0.0
!--- the above line is not what I actually entered in the terminal, for some reason
!--- the source and dest ip addresses are getting replaced with zeros
由于上面那行,现在大家都无法 ping 通 10.200.1.10 的服务器。当我删除该行后,
no deny icmp 0.0.0.0 255.255.0.0 0.0.0.0 255.255.0.0
我就可以再次 ping 通它了。
我怎样才能限制只有 10.100.xx 才能 ping 10.200.xx?
非常感谢您的帮助!G
答案1
您需要反转您的网络掩码...即,不要使用 255.255.0.0,而要使用 0.0.255.255
例子:
ip access-list standard external_traffic
deny 172.16.0.0 0.15.255.255
deny 192.168.0.0 0.0.255.255
此外,您确实知道 VLAN 子网之间需要一个路由器,对吗?(并不是想表现得傲慢,我只是不确定您的经验水平)
编辑:您使用 /24 子网进行地址分配,但使用 /16 进行 ACL 分配,这有什么原因吗?
我的建议是抛弃 222 上的 ACL,并对 111 子网进行限制,因为无论如何这都是您实际上想要限制的。
ip access-list extended block-icmp
deny icmp 10.100.1.0 0.0.0.255 10.200.1.0 0.0.0.255
permit ip any any
!
interface vlan 111
ip access-group block-icmp in
答案2
您已将 ACL 应用于 VLAN 222 的传入和传出流量,并且 ACL 不是有状态的。这意味着它们不会自行允许返回流量,您必须为此添加隐式规则。因此,在这种情况下,您正在阻止返回流量。
一种解决方案是在同一个 ACL 上为返回流量添加另一条规则,但我认为最好的方法是,如果您确实需要,则为传入和传出流量设置两个不同的 ACL。
您也可以尝试使用反身的ACL 是允许返回流量的好方法。点击此处了解更多详细信息:http://www.cisco.com/en/US/docs/ios/12_2/security/command/reference/srfreflx.html
以下是一些可能对 T 拍摄有帮助的额外提示。
show access-list NAME/NUMBER
显示每条规则的命中数,您可以看到哪些规则匹配并拒绝或允许数据包。这对您的情况没有多大帮助,因为您在两个方向上都有相同的 ACL,并且您不知道它匹配到哪里。如果你添加日志在每条规则的末尾(即
deny icmp 10.100.1.0 0.0.0.255 10.200.1.0 0.0.0.255 log
),开关将记录您可以查看的每场比赛,show logging
但这会占用大量 CPU,因此请尽量不要长时间开启,仅用于 T 拍摄。