Назад | Перейти на главную страницу

Как я могу заблокировать трафик между двумя конкретными VLAN

У меня есть коммутатор Dell 6224 powerconenct, работающий в качестве основного коммутатора в нашей сети. У меня настроено несколько виртуальных локальных сетей, и пришло время подумать о блокировке трафика между конкретными виртуальными локальными сетями.

В настоящее время я использую VLAN 2–10 и соответствующие им подсети 10,58.v.0 / 24 (где v - это идентификатор VLAN). Интерфейс маршрутизатора в каждой VLAN - 10,58.v.1

Например, VLAN 5 использует 10.58.5.0/24 со шлюзом 10.58.5.1.

Что я хочу сделать, так это заблокировать весь IP-трафик между VLAN 5 и VLAN 8, т.е. что-либо с IP в диапазоне 10.58.5.0/24 не может связываться ни с чем в 10.58.8.0/24 и наоборот.

Поскольку это производственная сеть (и у меня нет доступной тестовой среды), я не хочу просто начинать создавать списки ACL на случай, если я испорчу.

Первой моей мыслью было создать список доступа типа ..

access-list testacl deny ip 10.58.5.0 255.255.255.0 10.58.8.0 255.255.255.0

Но я действительно не знаю, нужно ли это назначать конкретному интерфейсу?

Обновить:

Я читал дальше и понимаю, что теперь мне нужно добавить правило разрешения для всего остального, иначе подразумеваемое правило deny all заблокирует все, поэтому мой testacl теперь выглядит так:

access-list testacl deny ip 10.58.5.0 255.255.255.0 10.58.8.0 255.255.255.0
access-list testacl permit every

Но я все еще не уверен, правильно ли это, и был бы признателен за любую помощь, так как я не хочу рисковать, перенастраивая производственные коммутаторы, не понимая полностью других возможных побочных эффектов того, что я делаю.

Я ненавижу отвечать на свои вопросы, но, поскольку я решил эту проблему, это может помочь кому-то другому.

Во-первых, указанная выше сетевая маска неверна, я должен был использовать Маска Wild Card

После некоторого исследования я обнаружил, что правильными командами для создания ACL были:

access-list testacl deny ip 10.58.5.0 0.0.0.255 10.58.8.0 0.0.0.255
access-list testacl permit every

... и для применения ACL я использовал следующее:

interface vlan 5
ip access-group testacl

После проведенного мной исследования я был уверен, что применим ACL к производственным коммутаторам, и изменение сработало безупречно.