已解决: 思科三层交换机ACL能对同网段起管控么

linwei22403 · ‎08-25-2020

比如192.168.1.10/24deny访问192.168.1.20的445端口
ip access-list extended deny-445
deny tcp any any eq 135
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 445
deny udp any any eq 135
deny udp any any eq netbios-ns
deny udp any any eq netbios-dgm
deny udp any any eq netbios-ss
deny udp any any eq 445
permit ip any any

fortune · ‎08-25-2020

长远考虑，划分不同网段。
同一网段，相互通信，正常都是走二层信息，检查mac地址表转发，所以不会跑到vlan int去，因为第一次arp信息获取后，后面都不用走网关。
如果服务器不多，你可以设置高级acl 应用在服务器端口下 in方向（交换机支持）试试看

在原帖中查看解决方案

fortune · ‎08-25-2020

长远考虑，划分不同网段。
同一网段，相互通信，正常都是走二层信息，检查mac地址表转发，所以不会跑到vlan int去，因为第一次arp信息获取后，后面都不用走网关。
如果服务器不多，你可以设置高级acl 应用在服务器端口下 in方向（交换机支持）试试看

YilinChen · ‎08-25-2020

这个ACL是挂在 interface vlan 下的吧？想想数据包会过这个VLAN IF接口不？
同网段要限制，为什么不在服务器本身上做端口限制呢？

linwei22403 · ‎08-26-2020

YilinChen 发表于 2020-8-26 13:16
这个ACL是挂在 interface vlan 下的吧？想想数据包会过这个VLAN IF接口不？
同网段要限制，为什么不在服 ...

用户的服务器不归，网管管理，防止他们445传播病毒，但是个别需要需要开。就是说，同网段的人，99个IP要拒绝访问1，但是有一个人要允许访问1，所以这个交换机ACL能不能实现，灵活管控，同一个网段的访问

wyc_chao · ‎08-26-2020

二层包在交换机上好像不过三层的，你要应用在哪？

Chris.le · ‎08-26-2020

居然把服务器和用户划到同一个网段

linwei22403 · ‎08-27-2020

wyc_chao 发表于 2020-8-27 08:45
二层包在交换机上好像不过三层的，你要应用在哪？

不过3层，为什么同一主干下的不同网段的包可以管控。你这个理由说不通

linwei22403 · ‎08-27-2020

Chris.le 发表于 2020-8-27 14:43
居然把服务器和用户划到同一个网段

用户自己搞的，确实不合理

zhangsj@szlink.com.cn · ‎09-01-2020

写一个 any 到 host 主机的拒绝

zhangsj@szlink.com.cn · ‎09-01-2020

或者这个问题的解决方式不应该是想法写acl，更好的方法是划网段，划vlan吧。