我有一台戴尔6224 powerconenct交换机作为我们networking的核心交换机。 我configuration了许多VLAN,我们现在考虑阻止特定VLAN之间的stream量。
我目前使用VLAN 2 – 10和他们各自的子网是10.58。 v .0 / 24(其中v是VLAN ID)。 每个VLAN上的路由器接口是10.58。 v。1
例如,VLAN 5使用10.58.5.0/24,网关为10.58.5.1
我想要做的就是阻止VLAN 5和VLAN 8之间的所有IPstream量,即任何IP地址为10.58.5.0/24的地址都不能与10.58.8.0/24中的任何地址进行通信,反之亦然。
由于这是一个生产networking(而且我没有可用的testing环境),所以我不想只是开始创buildACL,万一我搞砸了。
我的第一个想法是创build一个访问列表,如..
access-list testacl deny ip 10.58.5.0 255.255.255.0 10.58.8.0 255.255.255.0 但我不知道这是否需要分配给特定的接口?
更新:
我一直在进一步阅读,并意识到我现在需要添加许可证规则,否则隐含的拒绝所有规则将阻止一切,所以我的testacl现在看起来像这样:
access-list testacl deny ip 10.58.5.0 255.255.255.0 10.58.8.0 255.255.255.0 access-list testacl permit every
但我仍然不确定这是否正确,并希望得到任何帮助,因为我不想冒着重新configuration生产开关的风险,而没有充分理解我正在做的其他可能的副作用。
我讨厌回答自己的问题,但正如我现在解决这个问题,这可能会帮助别人。
首先,上面的networking掩码是不正确的,我应该使用一个通配符掩码
经过一番研究,我发现创buildACL的正确命令是:
access-list testacl deny ip 10.58.5.0 0.0.0.255 10.58.8.0 0.0.0.255 access-list testacl permit every
…并应用ACL,我使用了以下内容:
interface vlan 5 ip access-group testacl
在做了研究之后,我有信心把ACL应用到生产交换机上,而且这种改变是完美无缺的。