如何阻止兩個特定 VLAN 之間的流量

我有一個 Dell 6224 powerconenct 交換機作為我們網路上的核心交換機。我配置了多個 VLAN，現在是時候考慮阻止特定 VLAN 之間的流量了。

我目前使用 VLAN 2 - 10，它們各自的子網是 10.58。v .0/24（其中v是 VLAN ID）。每個 VLAN 上的路由器介面為 10.58。v .1

例如 VLAN 5 使用 10.58.5.0/24，網關為 10.58.5.1

我想要做的是阻止 VLAN 5 和 VLAN 8 之間的所有 IP 流量，即 IP 在 10.58.5.0/24 範圍內的任何東西都無法與 10.58.8.0/24 中的任何東西通信，反之亦然。

由於這是一個生產網路（而且我沒有可用的測試環境），我不想只是開始創建 ACL，以防我搞砸了。

我的第一個想法是創建一個訪問列表，例如..

access-list testacl deny ip 10.58.5.0 255.255.255.0 10.58.8.0 255.255.255.0

但是我真的不知道這是否需要分配給特定的介面？

更新：

我一直在進一步閱讀並意識到我現在需要為其他所有內容添加一個允許規則，否則隱含的拒絕所有規則將阻止所有內容，所以我的 testacl 現在看起來像這樣：

access-list testacl deny ip 10.58.5.0 255.255.255.0 10.58.8.0 255.255.255.0
access-list testacl permit every

但我仍然不確定這是否正確，並希望得到任何幫助，因為我不想冒險重新配置生產交換機而不完全了解我正在做的其他可能的副作用。

我討厭回答自己的問題，但是由於我現在已經解決了這個問題，這可能對其他人有所幫助。

首先，上面的網路遮罩不正確，我應該使用萬用字元遮罩

經過一番研究，我發現創建 ACL 的正確命令是：

access-list testacl deny ip 10.58.5.0 0.0.0.255 10.58.8.0 0.0.0.255
access-list testacl permit every

…並應用 ACL，我使用了以下內容：

interface vlan 5
ip access-group testacl

經過我的研究，我有信心將 ACL 應用到生產交換機，並且更改完美無缺。

引用自：https://serverfault.com/questions/209076