ProCurve ACL для предотвращения выхода подсети из коммутатора

Question

ProCurve ACL для предотвращения выхода подсети из коммутатора

У меня есть один HP ProCurve 2610 в удаленном месте, который связан с остальной частью сети через SHDSL. В этом сегменте есть две сети уровня 3. Списки ACL настроены так, чтобы запретить одной подсети (192.0.2.0/24) выходить из коммутатора из-за того, что он применяется к порту, подключенному к восходящему соединению. В другой подсети должно быть разрешено свободно покидать коммутатор. Обе подсети находятся в одной VLAN.

К сожалению, SFlow очень четко показывает широковещательный трафик с 192.0.2.0/24 в восходящем соединении. ACL ProCurve - не моя сильная сторона, но я чувствую, что мне здесь не хватает чего-то очень простого.

ip access-list extended "Filter for Camera Network" 
   deny ip 192.0.2.0 0.0.0.255 0.0.0.0 255.255.255.255 log 
   permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 
   exit

interface 24 
   name "DSL - UPLINK" 
   access-group "Filter for Camera Network" in
exit

Если я не ошибаюсь, трафик от 192.0.2.0/24 должен быть отброшен, поскольку он пересекает порт восходящей линии связи (int 24), тогда как весь другой трафик будет разрешен следующим правилом разрешения по умолчанию.

Что именно мне здесь не хватает?

РЕДАКТИРОВАТЬ:

Во-первых, почему у вас есть две подсети, содержащиеся в одной VLAN?

Так как он был настроен предыдущим администратором, и, хотя концептуально имеет смысл, что одна подсеть "сопоставлена" с одной VLAN, нет никаких технических ограничений, о которых я знаю, что это должно иметь место.

Вместо того, чтобы фильтровать входящий трафик в вашей восходящей линии связи, вы должны фильтровать исходящий трафик.

Серия HP2600 может фильтровать входящий трафик только на интерфейсах. Должен ли я изменить свой фильтр, чтобы запретить что-либо на 192.0.2.0/24?

2

networking access-control-list hp-procurve filtering

Источник

kce 27 июн '12 в 00:30

3 ответа

Другие вопросы по тегам networking access-control-list hp-procurve filtering

HostBits 27 июн '12 в 00:37 2012-06-27 00:37 · Answer 1 · 2012-06-27 00:37

Во-первых, почему у вас есть две подсети, содержащиеся в одной VLAN? Хотя это не твоя проблема здесь. Я не могу говорить о синтаксисе команд, так как я не настроил HP ProCurves, но, похоже, ваша логика отключена. Вместо того, чтобы фильтровать входящий трафик в вашей восходящей линии связи, вы должны фильтровать исходящий трафик. Интерфейс восходящей линии связи не будет принимать трафик из этой подсети, он будет пропускать трафик через него.

Thomas G 27 июн '12 в 20:34 2012-06-27 20:34 · Answer 2 · 2012-06-27 20:34

Простой ответ - перенастроить устройство уровня 3, обеспечивающее маршрутизацию, чтобы НЕ иметь интерфейс или дополнительный IP-адрес в подсети, который вы не хотите оставлять на коммутаторе. Если не существует маршрута уровня 3 из / в эту подсеть, то трафик будет существовать только в среде коммутации уровня 2 коммутатора для этой подсети.

Изменить: если он имеет восходящую связь с другим коммутатором, вы можете отфильтровать подсеть на входящем коммутаторе ТА.

Paul Gear 24 июл '12 в 22:45 2012-07-24 22:45 · Answer 3 · 2012-07-24 22:45

Если вы правы насчет фильтров трафика на 2610 (с тех пор, как я на них посмотрел), вам следует добавить этот фильтр на отдельные порты, входящие в этот диапазон адресов. Фильтрация трафика по восходящей линии связи будет работать, только если 2610 поддерживает исходящие фильтры.

Предположительно у вас есть сервер, собирающий данные камеры в той же VLAN? В этом случае вам, вероятно, также понадобится дополнительное правило, которое разрешает 192.0.2.0/24 до 192.0.2.0/24, и вы, вероятно, не захотите применять ACL к порту сервера, иначе вы не будете иметь доступ к нему удаленно.