我不确定 Cisco ACL 如何在 SF300 管理型交换机上运行。
我的交换机处于 L3 模式,并配置了不同的 VLAN。
每个 VLAN 都分配有几个处于访问模式的端口。
对于每个 VLAN,我想应用一些 ACL 规则。例如,一个 VLAN 只能访问互联网来浏览网站,因此允许端口 80 和 443。
我尝试过的 ACE 规则如下:
permit tcp 10.0.100.0 0.0.0.255 any any www ace-priority 100335
permit tcp 10.0.100.0 0.0.0.255 any any 443 ace-priority 100355
但仅此一点还不能让客户端访问网络。为此,我还必须允许反方向的流量:
permit tcp any www 10.0.100.0 0.0.0.255 any ace-priority 100375
permit tcp any 443 10.0.100.0 0.0.0.255 any ace-priority 100395
这是我不喜欢的,因为我只想允许 VLAN 中的客户端请求的连接。我不想允许来自外部的未经请求的连接。
所以我的问题是是否有一种方法可以允许网络访问,而不必在此 Cisco 管理交换机上使用两组规则。
我唯一的猜测是,我试图实现的不是交换机的工作,而是防火墙的工作,而 SF300 不是防火墙。或者我可能错过了一些关键字,例如“established”,我在一些手册中找到了它,但它似乎不适用于 SF300 交换机,因为没有这样的关键字。
答案1
正如您所发现的,SF300 的 ACL 功能有限。它仅允许在接口的“入站”方向使用 ACL。因此,实现所需功能的唯一方法是在面向 Internet 的 VLAN 接口上也放置 ACL。这相当于“established”关键字。
permit tcp any match +ack 10.0.100.0 0.0.0.255 any
deny tcp any 10.0.100.0 0.0.0.255 any
permit ip any any
答案2
正式来说 - 是的,当然。但行业标准方法是仅使用入站 ACL,并允许所有出站。因此,如果您决定使用此方法,则必须access-group仅针对传入流量定义。