Một tình huống: Mạng cục bộ 192.168.0.0/16 được chia thành nhiều mạng con và các bộ định tuyến được đặt đúng chỗ. Một máy ảo được lưu trữ Hyper-V được đặt trong mạng con 192.168.X.0 / 24. Nhiệm vụ được đưa ra để giới hạn quyền truy cập vào VM này từ tất cả các máy chủ ngoại trừ một danh sách đã cho, chứa địa chỉ IP từ các mạng con 192.168.Y.0 / 24, trong đó Y khác với X và truy cập mạng vào mạng con 192.168.Y.0 / 24 được định tuyến. Cấu hình mạng của VM như sau:
IPv4 Address: 192.168.X.10
Subnet mask: 255.255.255.0
Default gateway: 192.168.X.1
Vì vậy, tôi thực hiện các thay đổi sau trên cổng Hyper-V ACL:
Add-VMNetworkAdapterAcl -vm $vm -RemoteIPAddress 192.168.Y.Z -action allow -direction both
Add-VMNetworkAdapterAcl -vm $vm -RemoteIPAddress any -action deny -direction both
Thật ngạc nhiên ping 192.168.Y.Z
cho thấy "Máy chủ đích không thể truy cập được" từ VM, đồng thời ping VM từ máy chủ đó cũng trả về như vậy. Mặt khác, nếu tôi thêm một mục ACL vào 192.168.X.Z
với cùng một VM, thay đổi cho phép VM nhìn thấy máy chủ mà không gặp rắc rối.