Cisco
是否需要雙向配置 Cisco ACL 以允許流量?
我不確定 Cisco ACL 如何在 SF300 託管交換機上工作。
我的交換機處於 L3 模式並配置了不同的 VLAN。
每個 VLAN 都有幾個處於訪問模式的埠分配給它。
對於每個 VLAN,我想應用一些 ACL 規則。例如,一個 VLAN 應該只能上網瀏覽網站,所以允許 80 和 443 埠。
我嘗試的 ACE 規則如下所示:
permit tcp 10.0.100.0 0.0.0.255 any any www ace-priority 100335 permit tcp 10.0.100.0 0.0.0.255 any any 443 ace-priority 100355
但僅此一項不會讓客戶訪問網路。為此,我還必須允許相反方向的流量:
permit tcp any www 10.0.100.0 0.0.0.255 any ace-priority 100375 permit tcp any 443 10.0.100.0 0.0.0.255 any ace-priority 100395
這是我不喜歡的,因為我只想允許 VLAN 中客戶端請求的連接。我不想允許來自外部的不請自來的連接。
所以我的問題是,是否有一種方法可以允許 Web 訪問,而不必在此 Cisco 託管交換機上使用兩組規則。
我唯一的猜測是,我試圖實現的不是交換機的工作,而是防火牆的工作,而 SF300 不是。或者我錯過了一些關鍵字,例如“建立”,我在一些手冊中找到了它,但它似乎不適用於 SF300 交換機,因為沒有這樣的關鍵字。
正如您所發現的,SF300 的 ACL 功能有限。它只允許介面上“入站”方向的 ACL。因此,完成您想要的唯一方法是將 ACL 放在面向 Internet 的 VLAN 介面上。這相當於“建立”關鍵字。
permit tcp any match +ack 10.0.100.0 0.0.0.255 any deny tcp any 10.0.100.0 0.0.0.255 any permit ip any any
正式 - 是的,當然。但行業標準方法是僅使用入站 ACL,並允許所有內容傳出。因此,如果您決定使用這種方法,您將只需要
access-group
為傳入流量定義。