我有以下testingnetworking:
build筑:
edge_a: 192.168.e.1 [edge vlan] (edge switch, no acl) [admin vlan] 192.168.m.1/24 core: 192.168.m.2/24 [admin vlan] (core router, yes acl) [admin vlan] edge_b: 192.168.m.3/24 [admin vlan] (edge switch, no acl) [edge2 vlan] 192.168.e2.1 拓扑结构:
edge_a <--[admin vlan ]--> core <--[admin vlan]--> edge_b
边缘交换机不支持ACL,只有一小部分IP路由function(HP Procurve 2600或2800)。
Core支持ACL(Procurve 5308xl)。
旧的体系结构:所有VLAN都跑回核心路由器,这是每个“默认网关”。
我正在尝试将每个vlan的“默认网关”移动到相关的边缘交换机。
但是,边缘交换机将很高兴地在直接连接的vlan如Admin vlan之间路由。 节点在该networking上没有业务。
要阻止访问pipe理员VLAN,我正在将ACL应用到内核的“admin vlan OUT”接口。 理论上说,对非pipe理源的响应将没有路由回来,因此将始终通过核心路由; 因此,过滤TCP响应。
这不起作用,但是,ICMP ping成功并导致在边缘交换机上的以下路由表中:
remote edge switch# sh ip route IP Route Entries Destination Gateway VLAN Type Sub-Type Metric Dist. ------------------ --------------- ---- --------- ---------- ---------- ----- 0.0.0.0/0 192.168.m.2 101 static 0 250 192.168.m.0/24 Admin_Vlan 101 connected 0 0 192.168.e.226/32 192.168.m.1 101 icmp 0 255
我怀疑这也许与IRDP有关,但是在这个例子中,这三个交换机都禁用了这个协议。
这个“ICMP”路线从哪里来?
这个架构是我所知道的最好的解决scheme,这个ICMP事情真的让我的工作感到痛心。