我在远程位置有一台 HP ProCurve 2610,它通过 SHDSL 连接到网络的其余部分。此段上有两个第 3 层网络。ACL 设置为拒绝一个子网 (192.0.2.0/24) 离开交换机,因为它应用于连接到上游连接的端口。另一个子网应该被允许自由离开交换机。两个子网都在同一个 VLAN 上。
不幸的是,SFlow 非常清楚地显示了上游连接上来自 192.0.2.0/24 的广播流量。ProCurve ACL 不是我的强项,但我觉得我在这里忽略了一些非常简单的东西。
ip access-list extended "Filter for Camera Network"
deny ip 192.0.2.0 0.0.0.255 0.0.0.0 255.255.255.255 log
permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
exit
interface 24
name "DSL - UPLINK"
access-group "Filter for Camera Network" in
exit
除非我弄错了,否则来自 192.0.2.0/24 的流量在穿过上行链路端口(int 24)时应被丢弃,而所有其他流量将被以下默认允许规则允许。
我在这里到底遗漏了什么?
编辑:
首先,为什么同一个 VLAN 中包含两个子网?
因为这是以前的管理员配置的方式,虽然将单个子网“映射”到单个 VLAN 在概念上是合理的,但据我所知,没有任何技术限制使得必须如此。
您不应该过滤上行链路上的入站流量,而应该过滤出站流量。
HP2600 系列只能过滤接口上的入站流量。我是否应该更改过滤器以拒绝任何 192.0.2.0/24?
答案1
首先,为什么同一 VLAN 中包含两个子网?虽然这不是您的问题。由于我尚未配置 HP ProCurves,因此我无法解释命令的语法,但您的逻辑似乎不正确。您不应该过滤上行链路上的入站流量,而应该过滤出站流量。上行链路接口不会接收来自该子网的流量,而是会将流量传递过去。
答案2
简单的答案是重新配置提供路由的 Layer3 设备,使其在您不想离开交换机的子网中没有接口或辅助 IP。如果没有来自/到该子网的 3 层路由,则流量将仅存在于该子网的交换机的 2 层交换环境中。
编辑:如果它有到另一个交换机的上行链路,您可以过滤该交换机入站的子网。
答案3
如果您对 2610 上的流量过滤器的看法正确(我已经有一段时间没有查看它们了),那么您应该在属于该地址范围的各个端口上添加此过滤器。只有当 2610 支持出站过滤器时,上行链路上的流量过滤才会起作用。
假设您有一台服务器在同一个 VLAN 上收集摄像头数据?在这种情况下,您可能还需要一条额外的规则,允许 192.0.2.0/24 到 192.0.2.0/24,并且您可能不想将 ACL 应用于服务器端口,否则您将无法远程访问它。