有一台Extreme summit 200-24的L3 switch
設定完vlan
enable ipforwarding,啟動vlan間的路由後
所有的vlan都可以相通
但公司沒有要讓vlan全相通,需設定成,
ex: v1 vlan可以連v2 vlan,但v2 vlan不能連v1 vlan(VLAN間的單向訪問)
vl vlan ip=192.168.1.0
v2 vlan ip=192.168.2.0
有試著設定ACL
create access-mask m1 dest-ip /24 source-ip /24 precedence 25
create access-list list1 access-mask m1 dest-ip 192.168.1.0 /24 source-ip 192.168.2.0 /24 deny
但設定完後,v1 vlan和v2 vlan都沒辦法互通
廠商說這台沒辦法做到ex:v1 vlan可以連v2 vlan,但v2 vlan不能連v1 vlan的設定,
三向式交握會有問題
使用者手冊上還有另一種設定方法"permit-established"
但只能設定dest-L4port,沒法根據vlan或ip下去設定
以下是我的問題:
Q1:L3 switch啟動vlan間的路由後,也是所有的vlan都相通嗎?
Q2:在網路上有看到,好像有的L3 switch可以做到ex: v1 vlan可以連v2 vlan,但v2 vlan不能連v1 vlan,例如cisco 3550 switch,可以設定完ACL後應用在VLAN,
所以L3 switch能不能做到,是要看L3 switch本身有沒有提供這個功能嗎?
Q3:在網路上還有看到"VACL"這個名詞,何謂VACL?
VACL和ACL應用在VLAN有什麼差別?
VACL也是要看L3 switch本身有沒有支援嗎?
感謝回答!!
已邀請的邦友 {{ invite_list.length }}/5
Q1. 是
Q2. 對, 例如 Juniper EX-Series 的 L3-switch , 他有 firewall filter(類似 ACL) 跟 routing policy 這兩項功能做到你想要的需求
Q3.
a) 何謂VACL ?
我們常說的VLAN之間的訪問控制,它的實現方式是將ACL直接應用到VLAN的虛端口上,與應用到物理端口的ACL實現方式是一樣的。而VLAN訪問控制(VACL),也稱爲VLAN訪問映射表,它的實現方式與前者完全不同。它應用于VLAN中的所有通信流,支持基于ETHERTYPE和MAC地址的過濾,可以防止未經授權的數據流進入VLAN。目前支持的VACL操作有三種:轉發(forward),丟棄(drop),重定向(redirect)。
b)VACL和ACL應用在VLAN有什麼差別?
不同之處:因為VACL對data stream 没有inbound和outbound之分,所以同1個情景應用ACL的話, 只要設一個 Destination and Source, 但應用到VACL的話, 就要 Destination to Source and Source to Destination 兩個方向
c)VACL也是要看L3 switch本身有沒有支援嗎?
對, Cisco的話目前可能只有Cisco 3550、4500和6500系列的Switch支持。
關於Extreme 200-24 ACL的設定,印象中應該這樣做,若有誤,望請各位前輩指正。
enable ipforwarding 這條指令,是在所有ACL指令下完後才執行的,你可以試試看再下一次enable ipforwarding,看看這樣是不是OK。
acl 應用在vlan的方式就可以
以ping為例
vlan1可以連vlan2
vlan2不能連vlan1
ip access-list extended 101
10 permit icmp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 echo
20 deny icmp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 echo-reply
iThome鐵人賽
看影片追技術
看更多