Cisco Catalyst 3550 交换机 - VLAN ACL 问题

Cisco Catalyst 3550 交换机 - VLAN ACL 问题

我似乎无法让 Vlan ACL 正常工作。我希望在通过 VPN 连接时能够访问 10.100.xx 网络以及 10.200.xx 网络上的服务器。但是,我想阻止 10.100.xx 网络看到 10.200.xx

目前,我有 2 个 Vlan:

interface Vlan111
 description "vlan 111" 
 ip address 10.100.1.1 255.255.255.0


interface Vlan222
 description "vlan 222"
 ip address 10.200.1.1 255.255.255.0
 ip access-group vlan222_acl in
 ip access-group vlan222_acl out

我有 2 台服务器连接到每个 VLAN:

!--- the below port is connected to a windows machine with static ip address 10.100.1.10 and gateway 10.100.1.1
interface FastEthernet0/4                            
 description server 1
 switchport access vlan 111
 switchport mode access

!--- the below port is connected to a windows machine with static ip address 10.200.1.10 and gateway 10.200.1.1
interface FastEthernet0/5                            
 description server 2
 switchport access vlan 222
 switchport mode access

问题出在我配置vlan222_acl的时候。

这是我输入的内容:

ip access-list extended vlan222_acl
 deny icmp 10.100.0.0 255.255.0.0 10.200.0.0 255.255.0.0

但以下是应用于运行配置的内容:

ip access-list extended vlan222_acl
 deny icmp 0.0.0.0 255.255.0.0 0.0.0.0 255.255.0.0
!--- the above line is not what I actually entered in the terminal, for some reason 
!--- the source and dest ip addresses are getting replaced with zeros

由于上面那行,现在大家都无法 ping 通 10.200.1.10 的服务器。当我删除该行后, no deny icmp 0.0.0.0 255.255.0.0 0.0.0.0 255.255.0.0 我就可以再次 ping 通它了。

我怎样才能限制只有 10.100.xx 才能 ping 10.200.xx?

非常感谢您的帮助!G

答案1

您需要反转您的网络掩码...即,不要使用 255.255.0.0,而要使用 0.0.255.255

例子:

ip access-list standard external_traffic
 deny   172.16.0.0 0.15.255.255
 deny   192.168.0.0 0.0.255.255

此外,您确实知道 VLAN 子网之间需要一个路由器,对吗?(并不是想表现得傲慢,我只是不确定您的经验水平)

编辑:您使用 /24 子网进行地址分配,但使用 /16 进行 ACL 分配,这有什么原因吗?

我的建议是抛弃 222 上的 ACL,并对 111 子网进行限制,因为无论如何这都是您实际上想要限制的。

ip access-list extended block-icmp
deny icmp 10.100.1.0 0.0.0.255 10.200.1.0 0.0.0.255
permit ip any any
!
interface vlan 111
 ip access-group block-icmp in

答案2

您已将 ACL 应用于 VLAN 222 的传入和传出流量,并且 ACL 不是有状态的。这意味着它们不会自行允许返回流量,您必须为此添加隐式规则。因此,在这种情况下,您正在阻止返回流量。

一种解决方案是在同一个 ACL 上为返回流量添加另一条规则,但我认为最好的方法是,如果您确实需要,则为传入和传出流量设置两个不同的 ACL。

您也可以尝试使用反身的ACL 是允许返回流量的好方法。点击此处了解更多详细信息:http://www.cisco.com/en/US/docs/ios/12_2/security/command/reference/srfreflx.html

以下是一些可能对 T 拍摄有帮助的额外提示。

  • show access-list NAME/NUMBER显示每条规则的命中数,您可以看到哪些规则匹配并拒绝或允许数据包。这对您的情况没有多大帮助,因为您在两个方向上都有相同的 ACL,并且您不知道它匹配到哪里。

  • 如果你添加日志在每条规则的末尾(即deny icmp 10.100.1.0 0.0.0.255 10.200.1.0 0.0.0.255 log),开关将记录您可以查看的每场比赛,show logging但这会占用大量 CPU,因此请尽量不要长时间开启,仅用于 T 拍摄。

相关内容