HP Procurve 5406zl - Vấn đề ACL

Tôi đang gặp sự cố với ACL trên giao diện Vlan. Tôi đã theo dõi tài liệu của HP tại đây: http://h20628.www2.hp.com/km-ext/kmcsdirect/emr_na-c02609963-3.pdf

Tôi muốn làm như sau:

Vlan 101 chỉ có thể giao tiếp với Vlan 50 - không có Vlan khác, không có truy cập internet.

Ban đầu, tôi đã thử danh sách truy cập sau:

ip access-list extended "SecureContent"
    10 permit ip 192.168.50.0 0.0.0.255 192.168.101.0 0.0.0.255
    20 remark "SecurityVLAN"

Tôi đã áp dụng ACL này cho Vlan 101 "trong" bằng lệnh sau:

  vlan 101
    ip access-group "SecureContent" in

Cấu hình này dẫn đến kết nối không có trên Vlan đó: IP của 192.168.101.2 trên cổng A1 không thể ping 192.168.101.1, Vlan IP chuyển đổi. Nếu tôi thay đổi danh sách truy cập thành:

10 permit ip 192.168.101.1 0.0.0.255 192.168.101.1 0.0.0.255 
20 permit ip 192.168.50.1 0.0.0.255 192.168.101.1 0.0.0.255

... điều này dẫn đến các máy khách trên Vlan có thể ping cổng mặc định của chúng, nhưng không phải là cổng 50.1. Điều đó không có ý nghĩa gì với tôi - giao diện Vlan 101 IP nên được xem là hợp lý "bên trong" Vlan 101 đó, đúng không?

Tôi đã thử các phiên bản khác nhau của danh sách truy cập này, thậm chí sẽ chỉ thực hiện một danh sách truy cập tiêu chuẩn chặn một IP duy nhất nhưng vẫn cho phép mọi thứ khác với câu lệnh "cho phép bất kỳ ip nào" - và điều này vẫn dẫn đến kết quả là không có nội bộ hoặc nội bộ lưu lượng vlan - máy chủ lưu trữ trên Vlan đó thậm chí không thể ping cổng riêng của nó nếu tôi áp dụng danh sách theo hướng vào (tôi cũng đã thử một biến thể theo hướng đi - chính xác là kết quả tương tự!)

Dưới đây là cấu hình chuyển đổi:

    Running configuration:

; J8697A Configuration Editor; Created on release #K.15.09.0012
; Ver #03:01.1f.ef:f2
hostname "HP-5406zl"
module 1 type j8702a
module 2 type j8708a
module 3 type j9546a
module 4 type j8708a
power-over-ethernet pre-std-detect
ip access-list extended "SecureContent"
     10 permit ip 192.168.101.1 0.0.0.255 192.168.101.1 0.0.0.255
     20 permit ip 192.168.50.1 0.0.0.255 192.168.101.1 0.0.0.255
   exit
ip route 0.0.0.0 0.0.0.0 172.16.0.1
ip routing
snmp-server community "public" unrestricted
snmp-server contact "Person" location "Place"
vlan 1
   name "DEFAULT_VLAN"
   no untagged A1-A20,A23-A24,B1-B4,C1-C8,D1-D4
   untagged A21-A22
   ip address 192.168.1.10 255.255.255.0
   jumbo
   exit
vlan 50
   name "Editors"
   untagged A2-A19,B1-B3,C1-C8,D1-D4
   tagged A23-A24
   ip address 192.168.50.1 255.255.255.0
   jumbo
   exit
vlan 100
   name "IO"
   tagged A23-A24
   ip address 192.168.100.1 255.255.255.0
   exit
vlan 101
   name "SecureContent"
   untagged A1
   ip address 192.168.101.1 255.255.255.0
   ip access-group “SecureContent” in
   exit
vlan 200
   name "Corp"
   tagged A23-A24
   ip address 192.168.200.1 255.255.255.0
   ip helper-address 192.168.50.2
   exit
vlan 800
   name "IT"
   untagged A23-A24
   ip address 172.17.0.1 255.255.255.0
   exit
vlan 899
   name "DMZ"
   untagged B4
   tagged A23-A24
   ip address 172.18.0.1 255.255.255.0
   jumbo
   exit
vlan 900
   name "Routed"
   untagged A20
   tagged A23-A24
   ip address 172.16.0.2 255.255.255.252
   exit
vlan 999
   name "VLAN999"
   no ip address
   exit

EDITED để thêm thông tin khung gầm liên quan:

  Software revision  : K.15.09.0012         Base MAC Addr      : 002561-f80000
  ROM Version        : K.15.30              Serial Number      : XXXXXXXX
  Allow V1 Modules   : Yes     

         Opacity Shields    : Not Installed

Cảm ơn trước sự giúp đỡ của bạn!

Theo Hướng dẫn bảo mật truy cập cho thiết bị của bạn, địa chỉ và mặt nạ đầu tiên của ACE là nguồn và địa chỉ thứ hai và mặt nạ là đích. (Chỉ trong trường hợp, một ACE là Mục kiểm soát truy cập; đó là bất kỳ dòng nào trong danh sách truy cập được tạo ra)

ACE 20 của ACL trạng thái nguồn 192.168.50.0/24 và đích 192.168.101.0/24, sau đó bạn áp dụng ACL ở đầu vào Vlan 101; tuy nhiên, Vlan 101 của bạn là 192.168.101.0/24, do đó, bất kỳ lưu lượng truy cập đầu vào nào tại Vlan 101 sẽ có địa chỉ nguồn trong 192.168.101.0/24. Vì vậy, ACE 20 trong ACL của bạn là sai, bạn cần có một giấy phép hành động, nguồn 192.168.101.0/24 và đích 192.168.50.0/24.

ip access-list extended "SecureContent"
    10 permit ip 192.168.101.0 0.0.0.255 192.168.50.0 0.0.0.255

Về cách quay trở lại cho lưu lượng truy cập này, nó sẽ vượt qua Vlan 101 ra bên ngoài, vì vậy ACL không nên được áp dụng cho lưu lượng này và nó nên được cho phép.

Nếu lưu lượng truy cập không được phép thì bạn cần thêm đường quay lại trong ACL của mình.

ip access-list extended "SecureContent"
    10 permit ip 192.168.101.0 0.0.0.255 192.168.50.0 0.0.0.255
    20 permit ip 192.168.50.0 0.0.0.255 192.168.101.0 0.0.0.255

EDITED để thay đổi dòng trên để phản ánh cấu trúc ACL thích hợp của các mục được đánh số. (10, 20, v.v.).

Có vẻ như vấn đề này là do cách thiết bị mạng của HP xử lý ACL so với Cisco (vốn là nền tảng mạng của tôi).

Theo tài liệu này, HP ACL không trạng thái và phải chứa các mục lưu lượng truy cập hai chiều (để tạo lưu lượng truy cập và lưu lượng truy cập trở lại): http://tinyurl.com/qbfemk6 (Liên kết tới PDF trên trang web của HP).

Điều này trái ngược với hướng dẫn Quản lý lưu lượng nâng cao ở trên, hiển thị các ví dụ cấu hình không triển khai hoặc giải thích cho "điều này": các ví dụ không chứa các mục lưu lượng truy cập trả lại như vậy.

Bài học rút ra: Đừng tin tưởng tài liệu của nhà sản xuất phải nhất quán và chính xác.