Eu tenho um único HP ProCurve 2610 em um local remoto que está conectado com o resto da rede via SHDSL. Existem duas redes de camada 3 neste segmento. As ACLs são configuradas para impedir que uma sub-rede (192.0.2.0/24) seja capaz de deixar o switch em virtude de ser aplicada à porta conectada à conexão upstream. A outra sub-rede deve poder deixar livremente o interruptor. Ambas as sub-redes estão na mesma VLAN.
Infelizmente, o SFlow mostra muito claramente o tráfego de difusão de 192.0.2.0/24 na conexão upstream. As ACLs da ProCurve não são o meu ponto strong, mas sinto que estou sentindo falta de algo muito simples aqui.
ip access-list extended "Filter for Camera Network"
deny ip 192.0.2.0 0.0.0.255 0.0.0.0 255.255.255.255 log
permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
exit
interface 24
name "DSL - UPLINK"
access-group "Filter for Camera Network" in
exit
A menos que eu esteja enganado, o tráfego de 192.0.2.0/24 deve ser descartado quando ele cruzar a porta de uplink (int 24), enquanto todo o tráfego restante será permitido pela seguinte regra de permissão padrão.
O que exatamente estou sentindo falta aqui?
EDITAR:
Firstly, why do you have two subnets contained in the same VLAN?
Porque é assim que foi configurado por um administrador anterior e enquanto faz sentido conceitual que uma única sub-rede é "mapeada" para uma única VLAN, não há nenhuma restrição técnica que eu saiba que faz com que seja esse o caso. / p>
Instead of filtering inbound traffic on your uplink, you should be filtering outbound traffic.
A série HP2600 só pode filtrar o tráfego de entrada nas interfaces. Devo alterar meu filtro para negar qualquer um a 192.0.2.0/24?
Primeiramente, por que você tem duas sub-redes contidas na mesma VLAN ?. Embora, esse não seja seu problema aqui. Não consigo falar com a sintaxe dos comandos, pois não configurei o HP ProCurves, mas parece que sua lógica está desativada. Em vez de filtrar o tráfego de entrada em seu uplink, você deve filtrar o tráfego de saída. A interface de uplink não receberia tráfego dessa sub-rede, passaria o tráfego.
A resposta simples é reconfigurar o dispositivo Layer3 fornecendo roteamento para NÃO ter uma interface ou IP secundário na sub-rede que você não deseja deixar o switch. Se não houver uma rota da camada 3 de / para essa sub-rede, o tráfego só existirá no ambiente de switching da camada 2 do switch dessa sub-rede.
Editar: se houver um uplink para outro switch, você poderá filtrar a sub-rede na entrada THAT.
Se você está certo sobre os filtros de tráfego no 2610 (já faz um tempo desde que eu olhei para eles), então você deve adicionar esse filtro nas portas individuais que fazem parte desse intervalo de endereços. Filtrar o tráfego no uplink só funcionaria se o 2610 suportasse filtros de saída.
Presumivelmente, você tem um servidor coletando os dados da câmera na mesma VLAN? Nesse caso, você provavelmente precisará também de uma regra extra que permita 192.0.2.0/24 a 192.0.2.0/24, e provavelmente não desejará aplicar a ACL à porta do servidor; caso contrário, você não ser capaz de acessá-lo remotamente.