Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

Версия 1 Следующий »

В упрощённом виде маршрутизация трафика выполняется следующим образом:
Host X -> vlan X -> interface vlan X -> поиск маршрута в FIB -> interface vlan Y -> vlan Y -> Host Y

На коммутаторах MES возможно назначить ACL для interface VLAN (SVI) на направлении input. Можно ошибочно предположить, что согласно этой схемы возможно назначить ACL на interface vlan Y и таким образом фильтровать трафик, предназначенный для сети Y. Однако трафик подпадает под правила ACL только один раз - при поступлении на вход порта коммутатора, в данном случае на порт в vlan X.

Таким образом, в случае назначения ACL на interface vlan требуется настраивать правила только для входящих interface vlan.

Рассмотрим пример работы ACL, когда на коммутаторе есть несколько interface vlan и требуется ограничивать передачу трафика между хостами в этих VLAN по следующему сценарию:

1) Между хостами в одной сети не должно быть ограничений;
2) Разрешить трафик между сетями 1.1.1.0/24 и 2.2.2.0/24;
3) Разрешить трафик из сетей 1.1.1.0 - 3.3.3.0 в сеть 5.0.0.0/8;
4) Разрешить трафик от хоста X.X.X.254 из каждой сети (кроме 5.0.0.0/8) во все направления;
5) Разрешить трафик из сети 5.0.0.0/8 до остальных сетей, если это трафик для установленный TCP-сессий (аналог established в Cisco), кроме хоста X.X.X.254 - для него без ограничений.
6) Весь остальной трафик запретить.

В этом случае примеры ACL для требуемых interface vlan будут следующими:

ip access-list extended acl_vlan1
permit ip any any 1.1.1.0 0.0.0.255 1.1.1.0 0.0.0.255
permit ip any any 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
permit ip any any 1.1.1.0 0.0.0.255 5.0.0.0 0.255.255.255
permit ip any any 1.1.1.254 0.0.0.0 any

ip access-list extended acl_vlan2
permit ip any any 2.2.2.0 0.0.0.255 2.2.2.0 0.0.0.255
permit ip any any 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
permit ip any any 2.2.2.0 0.0.0.255 5.0.0.0 0.255.255.255
permit ip any any 2.2.2.254 0.0.0.0 any

ip access-list extended acl_vlan3
permit ip any any 3.3.3.0 0.0.0.255 3.3.3.0 0.0.0.255
permit ip any any 3.3.3.0 0.0.0.255 5.0.0.0 0.255.255.255
permit ip any any 3.3.3.254 0.0.0.0 any

ip access-list extended acl_vlan5
permit ip any any 5.0.0.0 0.255.255.255 1.1.1.254 0.0.0.0
permit ip any any 5.0.0.0 0.255.255.255 2.2.2.254 0.0.0.0
permit ip any any 5.0.0.0 0.255.255.255 3.3.3.254 0.0.0.0
permit tcp 5.0.0.0 0.255.255.255 any any any match-all +rst
permit tcp 5.0.0.0 0.255.255.255 any any any match-all +ack

  • Нет меток