У меня есть один HP ProCurve 2610 в удаленном месте, который подключен к остальной сети через SHDSL. В этом сегменте есть две сети уровня 3. ACL настроены так, чтобы запретить одной подсети (192.0.2.0/24) когда-либо покинуть коммутатор в силу применения к порту, подключенному к восходящему соединению. Другой подсети должно быть разрешено свободно покинуть коммутатор. Обе подсети находятся в одной VLAN.
К сожалению, SFlow очень четко показывает широковещательный трафик с 192.0.2.0/24 на восходящем соединении. ACL ProCurve - не моя сильная сторона, но я чувствую, что здесь не хватает чего-то очень простого.
ip access-list extended "Filter for Camera Network"
deny ip 192.0.2.0 0.0.0.255 0.0.0.0 255.255.255.255 log
permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
exit
interface 24
name "DSL - UPLINK"
access-group "Filter for Camera Network" in
exit
Если я не ошибаюсь, трафик с 192.0.2.0/24 должен быть отброшен, поскольку он пересекает порт восходящей связи (int 24), тогда как весь другой трафик будет разрешен следующим разрешающим правилом по умолчанию.
Что именно мне здесь не хватает?
РЕДАКТИРОВАТЬ:
Во-первых, почему у вас две подсети, содержащиеся в одной VLAN?
Так как это было настроено предыдущим администратором, и хотя концептуально логично, что отдельная подсеть «сопоставлена» с одной VLAN, нет никаких технических ограничений, о которых я знаю, которые заставляют это быть.
Вместо фильтрации входящего трафика по восходящему каналу вы должны фильтровать исходящий трафик.
Серия HP2600 может фильтровать только входящий трафик на интерфейсах. Должен ли я изменить свой фильтр, чтобы запретить любой, на 192.0.2.0/24?
Во-первых, почему у вас две подсети, содержащиеся в одной VLAN? Хотя, это не твоя проблема. Я не могу говорить о синтаксисе команд, поскольку я не настраивал HP ProCurves, но похоже, что ваша логика отключена. Вместо фильтрации входящего трафика по восходящему каналу вы должны фильтровать исходящий трафик. Интерфейс восходящей линии связи не будет получать трафик из этой подсети, он будет пропускать трафик.
Если вы правы насчет фильтров трафика на 2610 (я давно не смотрел на них), то вам следует добавить этот фильтр на отдельные порты, которые являются частью этого диапазона адресов. Фильтрация трафика по восходящему каналу будет работать, только если 2610 поддерживает исходящие фильтры.
Предположительно у вас есть сервер, собирающий данные с камеры в той же VLAN? В этом случае вам, вероятно, также понадобится дополнительное правило, которое разрешает 192.0.2.0/24 - 192.0.2.0/24, и вы, вероятно, не захотите применять ACL к порту сервера, иначе вы не будете иметь возможность получить к нему доступ удаленно.
Простой ответ - перенастроить устройство Layer3, обеспечивающее маршрутизацию, чтобы НЕ иметь интерфейс или вторичный IP-адрес в подсети, из которой вы не хотите оставлять коммутатор. Если нет маршрута уровня 3 из / в эту подсеть, тогда трафик будет существовать только в среде коммутации уровня 2 коммутатора для этой подсети.
Изменить: если у него есть восходящий канал к другому коммутатору, вы можете фильтровать подсеть на входящем входящем переключателе.