使用 ACL 阻止发往交换机的流量

网络工程 思科 转变 VLAN ACL
2021-07-11 03:14:04

有一个第 3 层交换机负责 vlan 间路由。一个 VLAN(10,网络:172.16.10.0/24)不能从任何其他 VLAN 访问(出于管理目的)。为了做到这一点,我使用了以下 ACL

access-list 1 permit 172.16.10.0 0.0.0.255
access-list 1 deny any

interface vlan 10
ip access-group 1 out

这会阻止源 IP 地址在 VLAN 10 之外的任何流量退出 VLAN 10 SVI 接口。

我选择在退出 VLAN 10 SVI 接口时阻止流量,而不是在进入所有其他 VLAN SVI 接口时阻止流量,因为稍后可以添加新 VLAN,这意味着也为新 VLAN 设置相同的 ACL。

问题是第3层交换机有一个管理接口(172.16.10.1),任何VLAN都可以访问,因为流量将通过源VLAN对应的SVI接口进入,并且会留在交换机中。它不会有机会被驻留在 VLAN 10 SVI 出口处的 ACL 过滤。

是否有一种解决方案可以过滤发往驻留在交换机上的此接口的流量,而无需将 ACL 放在每个其他 VLAN SVI 的入站流量上?

2个回答

如果要限制对交换机的管理访问,则需要将 ACL 应用到 VTY 接口:

ip access-list standard MY-ACL
permit ip 172.16.10.0 0.0.0.255

line vty 0 15
access-class MY-ACL in

从流量路由的角度来看,您必须将 ACL 放在目标之前。您的问题是 ACL 在目标之一之后。此外,这样的出站 ACL 实际上会路由注定要丢弃的流量。如果您放置入站 ACL,则在使用资源路由流量之前,流量将被丢弃。

您可以有一个由其他接口使用的 ACL,但是,正如您所指出的,您需要将此 ACL 添加到您可能添加的任何不应该访问该网络的未来网络中。

其它你可能感兴趣的问题
上一篇我们如何在 F5 CLI 中重置服务帐户密码? 下一篇关于 Internet 中的层