我已经为 Dell PowerConnect 8024F 编写了 ACL 规则（在大多数情况下，它使用 Cisco ACL“语言”）将 WiFi 流量与网络的其余部分隔离，但允许 VLAN 上的流量访问互联网流量。

也就是说，ACL 规则允许来自携带 WIFI 流量的 VLAN 的流量到另一个端点是防火墙接口的传输 VLAN，但不允许来自该 VLAN 的任何入口/出口流量（即我试图禁止“串扰”无线和有线流量之间，如果有道理的话）。

到目前为止我所做的工作，但我观察到的未来问题是我目前的规则以“全部允许”规则而不是“全部拒绝”规则结束 - 因此扩展性很差，因为我必须修改一堆我添加的每个新 VLAN 的 ACL。增加的工作量并不是问题——而是心灵的脆弱/健忘；感觉......必须这样做是错误的，我几乎可以肯定有更好的方法。不幸的是，我还没有找到更好的方法，并且肯定想这样做。

只是为了让它稍微不那么非正式 - 假设有四个 VLAN：

- A and B => wired VLAN traffic    (VLAN 10/20 - IP range 10.0.10.0/24 and 10.0.20.0/24)
- W       => wireless VLAN traffic (VLAN 240   - IP range 10.0.240.0/24)
- T       => transit VLAN traffic  (VLAN 300   - IP range 172.16.0.0/29)

我想编写一组规则，以便流量：

- A <-> W => denied
- A <-> T => permitted
- B <-> W => denied
- B <-> T => permitted
- W <-> T => permitted

（<->意思是双向流动的交通）

我最初编写的规则是这样写的：

• A）access-list secure_wifi permit ip 10.0.240.0 0.0.0.255 172.16.0.0 0.0.0.7（意思是：“允许无线流量通过vlan”）
• B) access-list secure_wifi permit ip 172.16.0.0 0.0.0.7 10.0.240.0 0.0.0.255（意思是：“允许传输 vlan 流量到无线 vlan”）
• C) access-list secure_wifi permit ip 0.0.0.0 127.255.255.255 172.16.0.0 0.0.0.7（意思是：“允许流量到 WAN 穿越传输 vlan”）

这就是我认为我应该拥有的所有内容，但是应用这些会让我tracert在 VLAN 之后超时并且没有互联网流量。我尝试了这些规则的许多不同组合作为入站和出站规则（以及两者之间的混合），但我从未真正让它正常工作。我所做的最好的事情是tracert跳到传输 VLAN，然后神秘地超时。我还发现自己对“给定端口的入站或出站流量是什么？”感到困惑。

相反，我最终做的是这样的事情（这些被绑定为端口入站 ACL）：

access-list secure_wifi deny ip 10.0.10.0 0.0.0.255 10.0.240.0 0.0.0.255
access-list secure_wifi deny ip 10.0.240.0 0.0.0.255 10.0.10.0 0.0.0.255
access-list secure_wifi deny ip 10.0.15.0 0.0.0.255 10.0.240.0 0.0.0.255
access-list secure_wifi deny ip 10.0.240.0 0.0.0.255 10.0.15.0 0.0.0.255
access-list secure_wifi deny ip 10.0.20.0 0.0.0.255 10.0.240.0 0.0.0.255
access-list secure_wifi deny ip 10.0.240.0 0.0.0.255 10.0.20.0 0.0.0.255
access-list secure_wifi deny ip 10.0.30.0 0.0.0.255 10.0.240.0 0.0.0.255
access-list secure_wifi deny ip 10.0.240.0 0.0.0.255 10.0.30.0 0.0.0.255
access-list secure_wifi permit any any

我缺乏什么知识？我怎样才能更简单和可维护地编写这些规则？

编辑：修正了一个错字并添加了一个我尝试过的“C）”规则，有点绝望。