我有以下测试网络:
建筑学:
edge_a: 192.168.e.1 [edge vlan] (edge switch, no acl) [admin vlan] 192.168.m.1/24
core: 192.168.m.2/24 [admin vlan] (core router, yes acl) [admin vlan]
edge_b: 192.168.m.3/24 [admin vlan] (edge switch, no acl) [edge2 vlan] 192.168.e2.1
拓扑:
edge_a <--[admin vlan ]--> core <--[admin vlan]--> edge_b
边缘交换机不支持 ACL,仅支持一小部分 IP 路由功能(HP Procurve 2600 或 2800)。
核心支持 ACL(Procurve 5308xl)。
旧架构:所有 VLAN 都返回到核心路由器,该路由器是每个 VLAN 的“默认网关”。
我正在尝试将每个 VLAN 的“默认网关”移动到相关的边缘交换机。
但是,边缘交换机会顺利地在直接连接的 VLAN(例如管理 VLAN)之间进行路由。节点在该网络上没有业务。
为了阻止对管理 vlan 的访问,我将 ACL 应用于核心的“管理 vlan OUT”接口。理论上,对非管理源的响应将没有返回路由,因此将始终通过核心路由;因此,过滤 TCP 响应。
然而,这不起作用,ICMP ping 成功并在边缘交换机上产生以下路由表:
remote edge switch# sh ip route
IP Route Entries
Destination Gateway VLAN Type Sub-Type Metric Dist.
------------------ --------------- ---- --------- ---------- ---------- -----
0.0.0.0/0 192.168.m.2 101 static 0 250
192.168.m.0/24 Admin_Vlan 101 connected 0 0
192.168.e.226/32 192.168.m.1 101 icmp 0 255
我怀疑这可能与 IRDP 有关,但是在此示例中,所有三个交换机上均禁用该协议。
这个“ICMP”路由来自哪里?
这种架构是我所知道的最好的解决方案,而这个 ICMP 问题确实困扰着我的工作。