iT邦幫忙

0

如果通过 三层交换机的 ACL 在多个 VALN 之间限制 IP 的访问

有多个 VLAN,在 VLAN 中有多台 Server,现在要限制某些 VLAN 中的某些 IP 访问 Server,应该怎么做?

现在想到的方法是是通过在 三层交换机上面做 ACL 限制这些 IP 访问到 Server。
但不知道具体应该怎么做?

或者有没有其他方法去实现?
https://ithelp.ithome.com.tw/upload/images/20181129/20099494nz51oFjuni.png
Switch 1 是一个三层核心交换机,Switch 2 是一个普通二层可管理交换机,配有 VLAN 1-10。
现在增加一个 VLAN 11,IP 地址为 192.168.5.1,子网为 255.255.255.240
在 Switch 2 上面有一个 Port 5,划分到 VLAN 11,并配置端口为 untagger 模式,连接到Switch 3 的 Port 6。
Switch 3 上面新配了一个 VLAN 20,IP 地址为 192.168.5.17,子网为 255.255.225.240.
Switch 是一个三层交换机

现在想限制 VLAN 20 里面的部分 IP 访问到 VLAN 1-10,交换机应该怎么配置?

看更多先前的討論...收起先前的討論...
Router可以設定吧?
有沒有防火牆
bluegrass iT邦研究生 3 級 ‧ 2018-11-28 14:39:07 檢舉
But does your Server need to visit client hosts?

If does, you can't use ACL and need a Firewall.
看環境架構
防火牆擋不到
那就靠 L3 SW ACL 去擋
或是 server 防火牆
具體要怎麼做 你要把架構、設備型號畫出來讓大家了解
as900 iT邦新手 2 級 ‧ 2018-11-29 10:59:30 檢舉
HP E3800 Switch,Server 到 Client 可不可以访问都可以。没有防火墙
VLAN很多,要不要考慮帶入VTP?
as900 iT邦新手 2 級 ‧ 2018-11-29 13:24:01 檢舉
带不带 VTP 那种方便,越简单越好?

1 個回答

0
bluegrass
iT邦研究生 3 級 ‧ 2018-11-30 09:12:45

Switch 2 在 Port 5 上設定ACL 便可以

你SWITCH 3即使有一千個VLAN, 最後唯一的出口都是到 Switch 2 在 Port 5

ACL 如下

SRC:VLAN 20 里面的部分 IP
DST:VLAN 1-10
方向為IN

不過有問題要考慮一下:
如果日後要 VLAN 1-10 可以找到 VLAN 20 的
但同時要 VLAN 20 里面的部分 IP 可以找到 VLAN 1-10
這情形下 ACL 技術是用不著的, 要用真的防火牆

看更多先前的回應...收起先前的回應...
bluegrass iT邦研究生 3 級 ‧ 2018-11-30 09:17:33 檢舉

順便一提, SWITCH 1 2
都要有 STATIC ROUTE
教它怎回到 192.168.5.17/255.255.225.240
(蝦咪的干, 為什麼你什麼都要用/28, 煩死了, 很愛算數是吧?)

GATEWAY 是 SWITCH 3 的 VLAN 1 IP Address
而SWITCH 3 的 VLAN 1 IP Address 應該要跟 switch 2 上面的 VLAN 11 同一SUBNET

as900 iT邦新手 2 級 ‧ 2018-11-30 10:55:58 檢舉

IP 数量比较紧张,所以尽量分少点

as900 iT邦新手 2 級 ‧ 2018-11-30 10:58:24 檢舉

如果我二层交换机不支持 ACL ,是不是可以在 Switch 3 上面的 Port 6 上面做 ACL?

我现在遇到一个问题,就是在没有配置 ACL 之前,VLAN 20 不能与 VLAN 1-10 通信,VLAN 1-10 之间可以通信,这个是怎么回事?

bluegrass iT邦研究生 3 級 ‧ 2018-11-30 13:49:35 檢舉

沒看懂, 所有SW的配置放上來

我要發表回答

立即登入回答