我正在尝试路由具有子网 192.168.100.0/26 的 VLAN 300,使其仅访问 VLAN 220 上的 10.220.1.10,但配置很困难。据我所知,HP 的文档只是希望我启用 IP RIP,但这会授予对整个 220 VLAN 的访问权限,而我所做的只是授予对 VLAN 220 上的 10.220.1.10 的访问权限
这是用于连接到 AS400 服务器的 RF Guns,我们试图将流量与其他所有流量隔离。因此,RF Guns 位于 192.168.100.0/26 中的 VLAN 300 上,而 AS400 位于 VLAN 220 上,其 IP 为 10.220.1.10
答案1
如果您尝试访问子网上具有多个系统的单个系统...
我会在终端系统上设置一条静态路由,指定要到达 10.220.1.10 系统需要经过 HP 路由器。然后我会在路由器上使用访问列表,以确保它只路由您想要的流量。
您无法使用路由(轻松)完成您想要的操作,因为路由器会根据子网来思考。它会根据网络地址和掩码来考虑可以访问哪些子网。如果它在与 10.220.1.10 相同的网络上有一个接口,它会认为自己是将流量路由到该子网上任何主机的可行候选者。但这并不是您想要的,您只想要一个主机。
另外要记住的是,路由器不知道什么是 VLAN。路由器是第 3 层。路由器只关心 IP 地址。它们将通过 IP 接口或子接口(如果您正在处理 VLAN 中继)引用您的 VLAN。
编辑
如果 HP 路由器也是默认网关,则无需担心任何静态路由。只需在通向 10.220.1.10 的接口上放置 ACL。
答案2
经过反复尝试,我找到了下面的解决方案,它按预期工作。感谢所有提供帮助的人。
ip access-list extended "100"
10 permit ip 192.168.100.0 0.0.0.63 10.220.1.10 0.0.0.0
20 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
Vlan 300
ip access-group 100 in
奇怪的是,我注意到我可以 ping 源 192.168.100.1 xxxxxxxxxxxxx(我的 VLAN 300 的 VLAN IP 地址),并且我从 10.220.1.10 以外的其他客户端获得了成功响应,但当与 VLAN 300 范围内的实际客户端一起工作时,我只能从 10.220.1.10 获得响应。我从 192.168.100.1(VLAN 300 的 VLAN IP)获得这些对 10.220.1.xxx 设备的 ping 响应,仅仅是因为它是交换机 VLAN IP,而不是访问列表规则不适用于 VLAN IP,但它们适用于客户端?
答案3
启用 RIP 后执行 ACL。如下图所示,ACL 如下,http://vmfocus.com/2012/10/14/如何配置访问列表路由在vlans之间-on-hp-v1910-24g/
在配置中看起来像那样..(但我不是 HP 交换机方面最好的..)
ip access-list extended "220"
10 permit ip 192.168.100.0 255.255.255.192 10.220.1.10 255.255.255.255
...
vlan 220
name "..."
untagged 2
tagged A1
ip address 10.220.1.1 255.255.255.0
exit