Cisco L2 交换机端口 ACL 选项

网络工程 思科 转变 acl
2022-02-26 11:04:42

我正在尝试了解可能用于限制流量的 Cisco Switch ACL 选项。Switch是带有Lanbase IOS的​​IE2000系列。它是 L2,具有到上行链路交换机的中继端口,交换机上有多个 VLAN,但 L3/vlan 路由由链上的 L3 交换机处理。

我想要做什么 - 一个物理端口上有一台设备出现故障,这似乎是由于网络流量过多(拔下交换机上的上行链路并且 VLAN 上至少有 100 台设备时设备没有故障) - 作为在我们可以做一些更好的网络工程之前的权宜之计是将设备的访问限制为实际需要与设备通信的 2-3 个 IP 地址。如果我可以在交换机端口上放置 ACL 以限制发送到设备的流量,那将是完美的,但据我所知,思科仅允许交换机端口上的入站 ACL(除非我误解了思科所说的入站和出境)。

看起来我可以在用于中继的物理端口上放置一个入站 ACL - 但这会影响所有 VLAN?此外,我需要了解交换机上其他设备的流量并检查我们是否在该端口上使用 Etherchannel,因为我确信这可能会使事情复杂化。

但是,看起来 Cisco 允许在 VLAN 上使用 ACL,我需要弄清楚它是如何工作的。我理解 ACL 如何在 L3 交换机上进行路由。对于 L2 - 我可以在没有 IP 地址的情况下为 VLAN 创建一个 SVI,然后在 VLAN SVI 上设置入站 ACL 以在流量进入该 VLAN 的物理端口之前限制流量吗?

例如:外部 <-> 中继端口 <-> {ACL???} <-> VLAN# SVI <-> 物理。VLAN上的端口#

谢谢,JT

1个回答

不会,应用于 SVI 的 ACL 只会影响通过该 SVI 路由的流量。感兴趣的流量是通过接入交换机进行的第 2 层交换,简单地创建一个 SVI 并不会改变这一点。

如果您能够将故障设备重新配置到新子网中,则可以使用 SVI 创建一个全新的子网,将设备放入子网中,然后相关的 ACL 将起作用。

但是,听起来您正在尝试找到一种侵入性最小的方法来暂时缓解您的问题。我不知道以上在您的环境中是否实用。如果您能够在上游网关上进行配置,那么上游网关上的第 3 层 ACL 似乎更合适。

其它你可能感兴趣的问题
上一篇ARP 如何影响 UDP 通信以及我可以重现以检查/理解它的场景是什么? 下一篇以 Hub/Spoke 方式设置 IPSEC