我有一个远程位置的HP ProCurve 2610,通过SHDSL连接到networking的其余部分。 这个网段有两个三层networking。 ACL设置为拒绝一个子网(192.0.2.0/24)由于应用于连接到上游连接的端口而离开交换机。 另一个子网应该被允许自由离开交换机。 两个子网都在同一个VLAN上。
不幸的是,SFlow非常清楚地显示了上行连接上来自192.0.2.0/24的广播stream量。 ProCurve ACL并不是我的强项,但我觉得我错过了一些非常简单的东西。
ip access-list extended "Filter for Camera Network" deny ip 192.0.2.0 0.0.0.255 0.0.0.0 255.255.255.255 log permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 exit interface 24 name "DSL - UPLINK" access-group "Filter for Camera Network" in exit 除非我误认为来自192.0.2.0/24的stream量应该通过上行链路端口(int 24)而被丢弃,而所有其他stream量将由以下默认允许规则来允许。
我在这里错过了什么?
编辑:
首先,为什么你在同一个VLAN中包含两个子网?
因为这是以前的pipe理员configuration的方式,虽然从概念上讲,单个子网“映射”到单个VLAN,但没有任何技术上的限制,我知道这是必须的。
您应该过滤出站stream量,而不是在您的上行链路上过滤入站stream量。
HP2600系列只能过滤接口上的入站stream量。 我应该改变我的filter否认任何192.0.2.0/24?
首先,为什么你在同一个VLAN中包含两个子网? 虽然,这不是你的问题。 由于我没有configurationHP ProCurves,因此我无法说明命令的语法,但看起来您的逻辑已closures。 您应该过滤出站stream量,而不是在您的上行链路上过滤入站stream量。 上行链路接口不会接收来自该子网的stream量,它会通过stream量。
简单的答案是重新configuration提供路由的第三层设备,而不是在子网中有一个不想离开交换机的接口或辅助IP。 如果没有到该子网的第3层路由,则stream量将仅存在于该子网的交换机的第2层交换环境中。
编辑:如果它有一个上行链路到另一台交换机,你可以过滤THAT交换机入站的子网。
如果你对2610上的stream量filter是正确的(从我看过他们已经有一段时间了),那么你应该把这个filter添加到作为该地址范围的一部分的各个端口上。 只有在2610支持出站filter的情况下,才能在上行链路上过滤stream量。
想必你有一台服务器在相同的VLAN上收集摄像机数据? 在这种情况下,你可能还需要一个额外的规则,允许192.0.2.0/24到192.0.2.0/24,你可能不想把ACL应用到服务器端口,否则你不会能够远程访问它。