Oggi voglio postare un semplice studio di laboratorio in cui ho creato un’ACL (access control list) per limitare il traffico tra VLAN configurate in Layer 3 su switch HP Procurve.
Nel “pezzo” di configurazione che riporto sotto trovate due VLAN: ID 1 ed ID 135. Ognuna di esse ha una classe IP distinta. Il routing è abilitato sullo switch.
- VLAN 1 – 10.39.135.0/24 accede a tutte le reti tranne alla VLAN 20.
- VLAN 20 – 192.168.200.0/24 non accede alla VLAN 1 e non è accessibile da essa
- eventuali altre VLAN
Creo l’access-list basate su classe IP sorgente e di destinazione. Non importa il tipo di traffico o la porta!
ip access-list extended "Test-ACL" 5 deny ip 10.39.135.0 0.0.0.127 192.168.200.0 0.0.0.255 10 deny ip 192.168.200.0 0.0.0.255 10.39.135.0 0.0.0.255 20 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 exit
Alla VLAN 1 non applico nulla di specifico.
vlan 1 name "default" ip address 10.39.135.254 255.255.255.0 exit
Alla VLAN 20 applico l’access list in ingresso in modo tale che non possa riceve ne mandare traffico verso la VLAN 1 (quella con IP 10.39)
vlan 20 name "test" tagged Trk4 ip access-group "Test-ACL" in ip address 192.168.200.254 255.255.255.0 exit
Provate effettuando dei ping che tutto funzioni come desiderato.
Se qualcosa non va è dovuto all’orario serale e al rincoglionimento post happy-hour! Questo è solo un semplice esperimento di laboratorio. Critiche e commenti sono ben accetti.