带有交换机端口的 Cisco 路由器的访问控制?

网络工程 思科 VLAN ACL
2021-08-02 09:33:50

我正在使用具有内置开关端口的 800 系列路由器。

我想为一个 VLAN 使用 2 个交换机端口(比如 VLAN 100)。

在一个端口上将有设备:

  • 192.168.1.10
  • 192.168.1.30

连接到另一个端口将是:

  • 192.168.1.50

我想:

  • 192.168.1.10 只能与 192.168.1.50 通话
  • 192.168.1.30 只能与另一个网络上的 IP 通信(比如 10.1.1.1)

查看选项,我似乎找不到像通常在 Cisco 交换机(在接口级别)上那样应用 ACL 的方法。所以下一个级别是 VACL,它似乎可以使用。

我想知道的是,VACL 会提供我需要的隔离吗?或者有没有更好的方法来根据我的需要隔离流量?

1个回答

本回答重点关注以下部分:

或者有没有更好的方法来根据我的需要隔离流量?

总的来说,运行两个内部 VLAN 可能会更容易,每个内部 VLAN 都有自己的 SVI ( interface vlan XXX) 和自己的子网,并接受必须重新编号某些主机的(可能仍然很小)缺点。

如果这样做,与其尝试使用功能受限的内置交换机的功能,您可以求助于路由器必须提供的“经典”和更灵活的功能:接口访问列表、CBAC 防火墙、ZoneBasedFirewall (ZBFW)、等等。

其它你可能感兴趣的问题
上一篇802.1Q 标记的 BPDU? 下一篇为什么 ip nat {in,out}side?