网络工程 - 优化 Cisco SG500X-48 小型企业交换机上的访问控制列表 - 吾爱随笔录

我正在尝试优化 Cisco SG500X-48 小型企业交换机（第 3 层）上的访问控制列表规则。总体目标是调节两个 VLAN（例如 10 和 30）之间的流量，使 VLAN 30 可以访问 VLAN 10，但仅限于特定协议，而 VLAN 10 根本无法访问 VLAN 30。

到目前为止，我已经为 ICMP 和 HTTP 配置了交换机作为初始测试，如下所示：

扩展 IP 访问列表 VLAN 10 测试 1

permit  icmp 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 ace-priority 10 type echo-reply code any
permit  tcp 192.168.30.0 0.0.0.255 any 192.168.10.0 0.0.0.255 www ace-priority 20
permit  tcp 192.168.10.0 0.0.0.255 www 192.168.30.0 0.0.0.255 any ace-priority 21
deny    ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 ace-priority 100

并将其作为具有明确“许可”的入口 ACL 应用到 VLAN 10。结果：

VLAN 30 可以 ping VLAN 10
VLAN 30 可以通过 HTTP 访问 VLAN 10（但不能访问 VLAN 10 中的任何其他服务）
VLAN 10 无法访问 VLAN 30

到现在为止还挺好。但是，由于我需要为多个 VLAN 上的多个协议配置此类 ACL 条目，我想知道我是否不能通过首先允许从 TCP 任何到任何端口的从 VLAN 30 到 VLAN 10 的请求来最小化所需的条目：

permit tcp 192.168.30.0 0.0.0.255 any 192.168.10.0 0.0.0.255 any ace-priority 20

然后只允许 VLAN 10 对与我希望允许响应请求的服务相对应的端口进行回复：

permit tcp 192.168.10.0 0.0.0.255 www 192.168.30.0 0.0.0.255 any ace-priority 21

permit tcp 192.168.10.0 0.0.0.255 telnet 192.168.30.0 0.0.0.255 any ace-priority 22

permit tcp 192.168.10.0 0.0.0.255 ssh 192.168.30.0 0.0.0.255 any ace-priority 23 …

不幸的是，这似乎不起作用，因为当我在交换机上配置并应用到 VLAN 10 时，以下 ACL：

扩展 IP 访问列表 VLAN 10 测试 2

permit  icmp 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 ace-priority 10 type echo-reply code any
permit  tcp 192.168.30.0 0.0.0.255 any 192.168.10.0 0.0.0.255 any ace-priority 20
permit  tcp 192.168.10.0 0.0.0.255 www 192.168.30.0 0.0.0.255 any ace-priority 21
deny    ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 ace-priority 100

VLAN 30 在 HTTP 上失去了对 VLAN 10 的访问权限。相反，出于我至今无法解释的原因，VLAN 10 突然能够通过 HTTP 访问 VLAN 30，这当然不应该发生。

我在网上搜索了有关 ACL 规则如何工作的更深入的解释，但找不到任何解释这种行为的东西。我想我可能遗漏了一些基本的东西。你能启发我吗？

提前感谢您的宝贵时间。