限制网络上的主机

根据交换机实际支持的 ACL（找不到任何手册），端口绑定 ACL 应该可以解决问题 - 无需 VLAN 或路由。我假设主机是静态配置的，没有 DHCP。语法可能有所不同，但我希望您明白我的意思。只需将 ACL 应用于所有交换机上的所有端口。或者，将 ACL 应用于默认 VLAN 也可能有效。

• 主机 1A-5A 使用 IP 地址 192.168.1.1/24 - 192.168.1.5/24
• 主机 1B-5B 使用 IP 地址 192.168.1.11/24 - 192.168.1.15/24
• 主机 1C-5C 使用 IP 地址 192.168.1.21/24 - 192.168.1.25/24
• 主机 1D-5D 使用 IP 地址 192.168.1.31/24 - 192.168.1.35/24

访问控制列表（ACL）：

1000 permit ip 192.168.1.1/32 192.168.1.2/32
1010 deny ip 192.168.1.2/32 192.168.1.11/32
1020 deny ip 192.168.1.2/32 192.168.1.21/32
1030 permit ip 192.168.1.2/32 any
1040 permit ip 192.168.1.11/32 192.168.1.12/32
1050 deny ip 192.168.1.12/32 192.168.1.1/32
1060 deny ip 192.168.1.12/32 192.168.1.21/32
1070 permit ip 192.168.1.12/32 any
1080 permit ip 192.168.1.21/32 192.168.1.22/32
1090 deny 192.168.1.22/32 192.168.1.1/32
1100 deny 192.168.1.22/32 192.168.1.11/32
1110 permit 192.168.1.22/32 any

deny any any请注意， ACL 末尾有一个隐含规则，因此如果您没有明确允许某项操作，则会被拒绝。您需要允许两个都通信方向 - ACL 是无状态的。规则评估基于首次适配从上到下的基础，因此，如果前一个匹配，则不使用deny后续的。permit

如果交换机不接受/32（无通配符位），则需要改用0.0.0.0。通配符位与子网掩码没有直接关系。相反，它们定义匹配时忽略的位。192.168.1.2/31or192.168.1.2 0.0.0.1匹配 192.168.1.2 和 192.168.1.3。 192.192.168.1.3 0.0.0.2匹配 192.168.1.1 和 192.168.1.3。