Назад | Перейти на главную страницу

Подсеть маршрута для доступа только к 1 IP-адресу в другой VLAN HP Procurve

Я пытаюсь маршрутизировать VLAN 300 с подсетью 192.168.100.0/26 для доступа только к 10.220.1.10 в VLAN 220, но борюсь с конфигурацией. Документация HP из того, что я могу сказать, просто хочет, чтобы я включил IP RIP, но это дает доступ ко всей 220 VLAN, когда все, что я пытаюсь сделать, это предоставить доступ к 10.220.1.10 в VLAN 220

Это для RF Guns, подключающихся к серверу AS400, и мы пытаемся изолировать трафик от всего остального. Таким образом, РЧ-пушки живут в VLAN 300 в 192.168.100.0/26, а AS400 живет в VLAN 220 с 10.220.1.10 в качестве IP-адреса.

После некоторых проб и ошибок я пришел к приведенному ниже решению, и оно работает так, как задумано. Спасибо всем, что помогло.

ip access-list extended "100"
     10 permit ip 192.168.100.0 0.0.0.63 10.220.1.10 0.0.0.0
     20 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255

Vlan 300
     ip access-group 100 in

что-то странное я заметил, что могу пинговать источник 192.168.100.1 xxxxxxxxxxxxx (мой IP-адрес vlan для VLAN 300), и я получаю успешные ответы от других клиентов, кроме 10.220.1.10, но я получаю ответы только от 10.220.1.10 при работе с реальными клиентами в Диапазон VLAN 300. Получаю ли я эти ping-ответы на устройства 10.220.1.xxx с 192.168.100.1 (IP-адрес vlan для VLAN 300) исключительно потому, что это IP-адрес VLAN коммутатора, а не правила списка доступа не применяются к IP-адресу VLAN, но они применяются для клиенты?

Вы включаете RIP, а потом делаете ACL. Как показано здесь немного для ACL, http://vmfocus.com/2012/10/14/how-to-configure-access-lists-route-between-vlans-on-hp-v1910-24g/

Похоже, что в конфиге .. (но я не лучший в переключателе HP ..)

ip access-list extended "220"
      10 permit ip 192.168.100.0 255.255.255.192 10.220.1.10 255.255.255.255

...

vlan 220
    name "..."
    untagged 2
    tagged A1
    ip address 10.220.1.1 255.255.255.0
    exit

Если вы пытаетесь получить доступ к одной системе в подсети, в которой есть более одной системы ...

Я бы поставил статический маршрут на конечные системы, которые указаны для доступа к системе 10.220.1.10, которая вам нужна, чтобы пройти через маршрутизатор HP. Затем я бы использовал список доступа на маршрутизаторе, чтобы убедиться, что он маршрутизирует только тот трафик, который вам нужен.

Вы не можете использовать маршрутизацию, чтобы (легко) делать то, что вы хотите, потому что маршрутизатор мыслит категориями подсетей. Он думает о том, к каким подсетям у него есть доступ, на основе сетевого адреса и маски. Если у него есть интерфейс в той же сети, что и 10.220.1.10, он будет думать о себе как о жизнеспособном кандидате для маршрутизации трафика на любой хост в этой подсети. И это не то, что вам нужно, вам просто нужен один хост.

Еще нужно помнить, что маршрутизаторы не знают, что такое VLAN. Маршрутизаторы - это уровень 3. Маршрутизаторы заботятся только об IP-адресах. Они будут ссылаться на вашу VLAN через IP-интерфейс или суб-интерфейс, если вы имеете дело с магистралью VLAN.

РЕДАКТИРОВАТЬ

Если маршрутизатор HP также является шлюзом по умолчанию, вам не нужно беспокоиться о каких-либо статических маршрутах. Просто поместите ACL в интерфейс, ведущий к 10.220.1.10.