core上的L3 vlan會有一筆直接連線的預設路由, 印象中是比手動的靜態路由優先權高.
雖然在core上跑ACL就可以(放在防火牆上跑的用途?),如果是小弟要做的話,
core上建立L2 vlan, 再把firewall連接的interface設定相同的vlan.
ACL有嘗試過,但似乎起不了作用,以下是ACL的設定
(10.6.5.0/24 deny 10.6.2.0/24、10.6.3.0/24、10.6.6.0/24、10.6.7.0/24及10.6.248.0/24,但permit 10.6.248.0/24的CIFS)
access-list 105 deny ip 10.6.5.0 0.0.0.255 10.6.2.0 0.0.0.255
access-list 105 deny ip 10.6.5.0 0.0.0.255 10.6.3.0 0.0.0.255
access-list 105 deny ip 10.6.5.0 0.0.0.255 10.6.6.0 0.0.0.255
access-list 105 deny ip 10.6.5.0 0.0.0.255 10.6.7.0 0.0.0.255
access-list 105 permit tcp 10.6.5.0 0.0.0.255 10.6.248.0 0.0.0.255 eq 445
access-list 105 deny ip 10.6.5.0 0.0.0.255 10.6.248.0 0.0.0.255
access-list 105 permit ip any any
然後再vlan上 ip access-group 105 out
不曉得哪裡出錯了><
10.6.5.0/24拒絕所有連線, 只允許10.6.248.0/24的CIFS?
是的,還有允許10.6.4.0/24