中继端口上的 ACL

网络工程 安全 ACL 树干
2021-07-04 14:15:38

我们的网络基础设施如下图所示

在此处输入图片说明

如图所示,我不得不让一家外部公司(处理人脸识别)软件访问我们 LAN 172.26.xx/16 中存在的服务器(172.26.33.56)和 IP 摄像机(172.26.35.28)。

他们只能在这两台机器和互联网上访问。-网关 IP(思科 ASA 内部):10.10.10.6 -DNS 1 IP:172.26.33.2 -DNS 2 IP:172.26.33.4

我已经配置了一个 ACL 以允许他们只访问(IP 摄像机、服务器、互联网),并在接入交换机 1 和接入交换机 2 之间连接的中继端口 Fa0/19 上应用了 ACL,如下所示,知道 STA6-2 是接入交换机图中的1:

在此处输入图片说明

在此处输入图片说明

在此处输入图片说明 ................................... 问题是应用了 ACL 后,服务器仍然可以访问其他LAN 上的资源(例如 My PC 172.26.39.147)

在此处输入图片说明

所以请教我如何解决这个问题。

问候, Ethem

1个回答

您的错误是中继接口是第 2 层接口,但您正在尝试应用第 3 层 ACL。第 2 层交换不考虑第 3 层寻址,这是您的 ACL 使用的。您需要将 ACL 应用于第 3 层 (SVI) 接口。

VLAN 的要点是流量不能从一个 VLAN 到达另一个 VLAN,除非通过路由器(或第 3 层交换机中的路由模块)。中继通过使用 VLAN 标签标记帧,将每个 VLAN 中的流量保持独立,就像您拥有单独的物理交换机一样。

默认情况下,路由会将流量从一个 VLAN 路由到另一个 VLAN,但您可以在路由接口(分配了 IP 地址的接口)中放置 ACL,以允许或阻止特定流量。

您正在使用扩展 ACL,因此您应该将它们放置在尽可能靠近流量源的位置。

其它你可能感兴趣的问题
上一篇配置 HSRPv2(双栈 - IPv4 和 IPv6) 下一篇带有中毒反向的水平分割不起作用的情况?