我有一个用于自学目的的基本设置。我是一名开发人员,但也试图了解 IT 管理网络的另一面。
我的意思是学习案例,我有一个托管 L3 交换机。以下设备连接到它:
设备名称 | 设备 IPv4 | 子网掩码 | 交换机端口 | 虚拟局域网 |
---|---|---|---|---|
服务器IT | 192.168.10.2 | 255.255.255.0 | G0/1 | 10 |
服务器-HR | 192.168.11.31 | 255.255.255.0 | G0/2 | 11 |
打印机-IT | 192.168.20.30 | 255.255.255.0 | F0/21 | 20 |
打印机-HR | 192.168.20.31 | 255.255.255.0 | F0/22 | 20 |
电脑-IT-1 | 192.168.30.2 | 255.255.255.248 | F0/1 | 30 |
PC-IT-2 | 192.168.30.3 | 255.255.255.248 | F0/2 | 30 |
PC-IT-3 | 192.168.30.4 | 255.255.255.248 | F0/3 | 30 |
PC-IT-4 | 192.168.30.5 | 255.255.255.248 | F0/4 | 30 |
PC-HR-1 | 192.168.31.2 | 255.255.255.248 | F0/1 | 31 |
PC-HR-2 | 192.168.31.3 | 255.255.255.248 | F0/2 | 31 |
PC-HR-3 | 192.168.31.4 | 255.255.255.248 | F0/3 | 31 |
PC-HR-4 | 192.168.31.5 | 255.255.255.248 | F0/4 | 31 |
VLAN、设备端口等均已正确配置并按照我的预期运行。我还让所有设备通过使用 IP 路由相互通信。这也能正常工作。
现在,我尝试采取下一步措施,将访问限制为Server-HR
仅来自网络的设备192.168.31.0 /29
。即使在研究 Cicso 时,我也没有在这里找到真正的说明,或者至少没有我理解的说明。我发现一条指令说要使用 ACL,我尝试使用:
config t
ip access-list extend WHITELIST
permit ip 192.168.31.0 255.255.255.248 host 192.168.11.31
这不起作用,因为我错过了一些东西。我仍然可以与Server-HR
所有设备进行通信,而不仅仅是来自 的设备VLAN 31
。我错过了什么以及我需要做什么来修复该连接过滤器?
访问列表需要应用于端口或VLAN。您还需要指定输入或输出的方向-通常首选输入方向,并且在某些设备上您唯一的选择。
端口访问列表的应用如下:
deny ip any any
每个 ACL 的末尾都有一个隐含的内容,因此请确保在申请之前已允许您需要的所有内容。此外,ACL 是无状态的,因此如果应用 ACL,您需要在两个方向创建规则。您还应该使 ACL 名称更具描述性,这样就不会混淆规则。