我有一个基本的自学设置。我是一名开发人员,但也试图了解 IT 管理网络的另一面。
我的意思是学习案例我有一台托管的 L3 交换机。它连接了以下设备:
| 设备名称 | 设备 IPv4 | 子网掩码 | 交换机端口 | 虚拟局域网 |
|---|---|---|---|---|
| 服务器-IT | 192.168.10.2 | 255.255.255.0 | G0/1 | 10 |
| 服务器-HR | 192.168.11.31 | 255.255.255.0 | G0/2 | 11 |
| 打印机-IT | 192.168.20.30 | 255.255.255.0 | F0/21 | 20 |
| 打印机-HR | 192.168.20.31 | 255.255.255.0 | F0/22 | 20 |
| PC-IT-1 | 192.168.30.2 | 255.255.255.248 | F0/1 | 三十 |
| PC-IT-2 | 192.168.30.3 | 255.255.255.248 | F0/2 | 三十 |
| PC-IT-3 | 192.168.30.4 | 255.255.255.248 | F0/3 | 三十 |
| PC-IT-4 | 192.168.30.5 | 255.255.255.248 | F0/4 | 三十 |
| PC-HR-1 | 192.168.31.2 | 255.255.255.248 | F0/1 | 31 |
| PC-HR-2 | 192.168.31.3 | 255.255.255.248 | F0/2 | 31 |
| PC-HR-3 | 192.168.31.4 | 255.255.255.248 | F0/3 | 31 |
| PC-HR-4 | 192.168.31.5 | 255.255.255.248 | F0/4 | 31 |
VLAN、设备端口等均已正确配置,并按预期运行。我还让所有设备使用 IP 路由相互通信。这也正常工作。
现在我尝试采取下一步,将访问权限限制为Server-HR仅来自网络的设备192.168.31.0 /29。即使在 Cicso 上进行研究,我也没有在这里找到真正的说明,或者至少没有我理解的说明。我发现的一条说明指出使用 ACL,我尝试使用:
config t
ip access-list extend WHITELIST
permit ip 192.168.31.0 255.255.255.248 host 192.168.11.31
这不起作用,因为我错过了一些东西。我仍然可以与Server-HR所有设备的 进行通信,而不仅仅是 的设备VLAN 31。我错过了什么,我需要做什么来修复该连接过滤器?
答案1
访问列表需要应用于端口或 VLAN。您还需要指定方向在或者出去-在在某些设备上通常是首选且唯一的选择。
端口访问列表的应用如下:
interface g1/1
ip access group WHITELIST in
exit
deny ip any any每个 ACL 末尾都有隐含的,因此请确保在应用之前已允许所需的一切。此外,ACL 是无状态的,因此如果应用 ACL,则需要在两个方向上创建规则。
您还应该使您的 ACL 名称更具描述性,这样您就不会混淆您的规则。