Tôi đang gặp sự cố với ACL trên giao diện Vlan. Tôi đã theo dõi tài liệu của HP tại đây: http://h20628.www2.hp.com/km-ext/kmcsdirect/emr_na-c02609963-3.pdf
Tôi muốn làm như sau:
Vlan 101 chỉ có thể giao tiếp với Vlan 50 - không có Vlan khác, không có truy cập internet.
Ban đầu, tôi đã thử danh sách truy cập sau:
ip access-list extended "SecureContent"
10 permit ip 192.168.50.0 0.0.0.255 192.168.101.0 0.0.0.255
20 remark "SecurityVLAN"
Tôi đã áp dụng ACL này cho Vlan 101 "trong" bằng lệnh sau:
vlan 101
ip access-group "SecureContent" in
Cấu hình này dẫn đến kết nối không có trên Vlan đó: IP của 192.168.101.2 trên cổng A1 không thể ping 192.168.101.1, Vlan IP chuyển đổi. Nếu tôi thay đổi danh sách truy cập thành:
10 permit ip 192.168.101.1 0.0.0.255 192.168.101.1 0.0.0.255
20 permit ip 192.168.50.1 0.0.0.255 192.168.101.1 0.0.0.255
... điều này dẫn đến các máy khách trên Vlan có thể ping cổng mặc định của chúng, nhưng không phải là cổng 50.1. Điều đó không có ý nghĩa gì với tôi - giao diện Vlan 101 IP nên được xem là hợp lý "bên trong" Vlan 101 đó, đúng không?
Tôi đã thử các phiên bản khác nhau của danh sách truy cập này, thậm chí sẽ chỉ thực hiện một danh sách truy cập tiêu chuẩn chặn một IP duy nhất nhưng vẫn cho phép mọi thứ khác với câu lệnh "cho phép bất kỳ ip nào" - và điều này vẫn dẫn đến kết quả là không có nội bộ hoặc nội bộ lưu lượng vlan - máy chủ lưu trữ trên Vlan đó thậm chí không thể ping cổng riêng của nó nếu tôi áp dụng danh sách theo hướng vào (tôi cũng đã thử một biến thể theo hướng đi - chính xác là kết quả tương tự!)
Dưới đây là cấu hình chuyển đổi:
Running configuration:
; J8697A Configuration Editor; Created on release #K.15.09.0012
; Ver #03:01.1f.ef:f2
hostname "HP-5406zl"
module 1 type j8702a
module 2 type j8708a
module 3 type j9546a
module 4 type j8708a
power-over-ethernet pre-std-detect
ip access-list extended "SecureContent"
10 permit ip 192.168.101.1 0.0.0.255 192.168.101.1 0.0.0.255
20 permit ip 192.168.50.1 0.0.0.255 192.168.101.1 0.0.0.255
exit
ip route 0.0.0.0 0.0.0.0 172.16.0.1
ip routing
snmp-server community "public" unrestricted
snmp-server contact "Person" location "Place"
vlan 1
name "DEFAULT_VLAN"
no untagged A1-A20,A23-A24,B1-B4,C1-C8,D1-D4
untagged A21-A22
ip address 192.168.1.10 255.255.255.0
jumbo
exit
vlan 50
name "Editors"
untagged A2-A19,B1-B3,C1-C8,D1-D4
tagged A23-A24
ip address 192.168.50.1 255.255.255.0
jumbo
exit
vlan 100
name "IO"
tagged A23-A24
ip address 192.168.100.1 255.255.255.0
exit
vlan 101
name "SecureContent"
untagged A1
ip address 192.168.101.1 255.255.255.0
ip access-group “SecureContent” in
exit
vlan 200
name "Corp"
tagged A23-A24
ip address 192.168.200.1 255.255.255.0
ip helper-address 192.168.50.2
exit
vlan 800
name "IT"
untagged A23-A24
ip address 172.17.0.1 255.255.255.0
exit
vlan 899
name "DMZ"
untagged B4
tagged A23-A24
ip address 172.18.0.1 255.255.255.0
jumbo
exit
vlan 900
name "Routed"
untagged A20
tagged A23-A24
ip address 172.16.0.2 255.255.255.252
exit
vlan 999
name "VLAN999"
no ip address
exit
EDITED để thêm thông tin khung gầm liên quan:
Software revision : K.15.09.0012 Base MAC Addr : 002561-f80000
ROM Version : K.15.30 Serial Number : XXXXXXXX
Allow V1 Modules : Yes
Opacity Shields : Not Installed
Cảm ơn trước sự giúp đỡ của bạn!