HP Procurve 5406zl - ACL 问题

网络工程 ACL hp-procurve
2021-07-10 00:53:15

我在 VLAN 接口上遇到了 ACL 问题。我在这里遵循了 HP 的文档:http : //h20628.www2.hp.com/km-ext/kmcsdirect/emr_na-c02609963-3.pdf

我想做以下事情:

VLAN 101 应该只能与 VLAN 50 通信 - 没有其他 VLAN,无法访问互联网。

最初,我尝试了以下访问列表: 

ip access-list extended "SecureContent"
    10 permit ip 192.168.50.0 0.0.0.255 192.168.101.0 0.0.0.255
    20 remark "SecurityVLAN"

我使用以下命令将此 ACL 应用于 VLAN 101“in”: 

  vlan 101
    ip access-group "SecureContent" in

此配置导致该 VLAN 上的通信为零:端口 A1 上的 192.168.101.2 的 IP 无法 ping 192.168.101.1,即交换机 VLAN IP。如果我将访问列表更改为:

10 permit ip 192.168.101.1 0.0.0.255 192.168.101.1 0.0.0.255 
20 permit ip 192.168.50.1 0.0.0.255 192.168.101.1 0.0.0.255

...这会导致 VLAN 上的客户端能够 ping 其默认网关,但不能 ping 50.1 网关。这对我来说没有任何意义 - VLAN 101 IP 接口应该在逻辑上被视为该 VLAN 101 的“内部”,对吗?

我已经尝试了这个访问列表的各种版本,甚至只做一个标准访问列表来阻止单个 IP 但允许其他所有内容使用“permit ip any any”语句 - 这仍然导致零间或内部 - vlan 流量 - 如果我在入站方向应用列表,该 VLAN 上的主机甚至无法 ping 自己的网关(我也在出站方向尝试了一个变体 - 完全相同的结果!)

下面是交换机配置: 

    Running configuration:

; J8697A Configuration Editor; Created on release #K.15.09.0012
; Ver #03:01.1f.ef:f2
hostname "HP-5406zl"
module 1 type j8702a
module 2 type j8708a
module 3 type j9546a
module 4 type j8708a
power-over-ethernet pre-std-detect
ip access-list extended "SecureContent"
     10 permit ip 192.168.101.1 0.0.0.255 192.168.101.1 0.0.0.255
     20 permit ip 192.168.50.1 0.0.0.255 192.168.101.1 0.0.0.255
   exit
ip route 0.0.0.0 0.0.0.0 172.16.0.1
ip routing
snmp-server community "public" unrestricted
snmp-server contact "Person" location "Place"
vlan 1
   name "DEFAULT_VLAN"
   no untagged A1-A20,A23-A24,B1-B4,C1-C8,D1-D4
   untagged A21-A22
   ip address 192.168.1.10 255.255.255.0
   jumbo
   exit
vlan 50
   name "Editors"
   untagged A2-A19,B1-B3,C1-C8,D1-D4
   tagged A23-A24
   ip address 192.168.50.1 255.255.255.0
   jumbo
   exit
vlan 100
   name "IO"
   tagged A23-A24
   ip address 192.168.100.1 255.255.255.0
   exit
vlan 101
   name "SecureContent"
   untagged A1
   ip address 192.168.101.1 255.255.255.0
   ip access-group “SecureContent” in
   exit
vlan 200
   name "Corp"
   tagged A23-A24
   ip address 192.168.200.1 255.255.255.0
   ip helper-address 192.168.50.2
   exit
vlan 800
   name "IT"
   untagged A23-A24
   ip address 172.17.0.1 255.255.255.0
   exit
vlan 899
   name "DMZ"
   untagged B4
   tagged A23-A24
   ip address 172.18.0.1 255.255.255.0
   jumbo
   exit
vlan 900
   name "Routed"
   untagged A20
   tagged A23-A24
   ip address 172.16.0.2 255.255.255.252
   exit
vlan 999
   name "VLAN999"
   no ip address
   exit

编辑添加相关机箱信息: 

  Software revision  : K.15.09.0012         Base MAC Addr      : 002561-f80000
  ROM Version        : K.15.30              Serial Number      : XXXXXXXX
  Allow V1 Modules   : Yes     

         Opacity Shields    : Not Installed

在此先感谢您的帮助!

2个回答

根据您设备的访问安全指南,ACE 的第一个地址和掩码是源,第二个地址和掩码是目标。(为了以防万一,ACE 是访问控制条目;即访问列表所包含的任何行)

ACL 的 ACE 20 声明源 192.168.50.0/24 和目标 192.168.101.0/24,然后在 VLAN 101 输入处应用 ACL;但是,您的 VLAN 101 是 192.168.101.0/24,因此 VLAN 101 中的任何输入流量都将在 192.168.101.0/24 中具有源地址。所以 ACL 中的 ACE 20 是错误的,您需要一个带有操作许可的 ACE,源 192.168.101.0/24 和目标 192.168.50.0/24。

ip access-list extended "SecureContent"
    10 permit ip 192.168.101.0 0.0.0.255 192.168.50.0 0.0.0.255

关于此流量的返回方式,它将跨越 VLAN 101 出站,因此不应将 ACL 应用于此流量,而应允许使用。

如果不允许返回流量,则需要在 ACL 中添加返回路径。

ip access-list extended "SecureContent"
    10 permit ip 192.168.101.0 0.0.0.255 192.168.50.0 0.0.0.255
    20 permit ip 192.168.50.0 0.0.0.255 192.168.101.0 0.0.0.255

编辑以更改上面的行以反映编号条目的正确 ACL 结构。(10、20 等)。

看起来这个问题是由于 HP 的网络设备处理 ACL 的方式与 Cisco(这是我的网络背景)。

根据本文档,HP ACL 是无状态的,并且必须包含双向流量条目(用于原始流量和返回流量):http : //tinyurl.com/qbfemk6(HP 站点上的 PDF 链接)。

这与上面的高级流量管理指南形成对比,该指南显示的配置示例没有实现或解决此“怪癖”:示例不包含此类返回流量条目。

经验教训:不要相信制造商文档的一致性和准确性。

其它你可能感兴趣的问题
上一篇将 POE VoIP 电话连接到非 POE 交换机 下一篇HP 2920 - 可以在没有堆叠模块的情况下堆叠吗?