Tengo un problema con una ACL en una interfaz VLAN. He seguido la documentación de HP aquí: http://h20628.www2.hp.com/km-ext/kmcsdirect/emr_na-c02609963-3.pdf
Quiero hacer lo siguiente:
La VLAN 101 solo debe poder comunicarse con la VLAN 50, sin otras VLAN, sin acceso a Internet.
Inicialmente, probé la siguiente lista de acceso:
ip access-list extended "SecureContent"
10 permit ip 192.168.50.0 0.0.0.255 192.168.101.0 0.0.0.255
20 remark "SecurityVLAN"
Apliqué esta ACL a la VLAN 101 "en" con el siguiente comando:
vlan 101
ip access-group "SecureContent" in
Esta configuración da como resultado una comunicación cero en esa VLAN: la IP de 192.168.101.2 en el puerto A1 no puede hacer ping a 192.168.101.1, la IP VLAN del conmutador. Si cambio la lista de acceso a:
10 permit ip 192.168.101.1 0.0.0.255 192.168.101.1 0.0.0.255
20 permit ip 192.168.50.1 0.0.0.255 192.168.101.1 0.0.0.255
... esto da como resultado que los clientes en la VLAN puedan hacer ping a su puerta de enlace predeterminada, pero no a la puerta de enlace 50.1. Eso no tiene ningún sentido para mí: la interfaz IP de la VLAN 101 debe considerarse lógicamente "dentro" de esa VLAN 101, ¿correcto?
He intentado varias versiones de esta lista de acceso, incluso yendo tan lejos como para hacer solo una lista de acceso estándar que bloquea una sola IP pero permite todo lo demás con una declaración "permit ip any any", y esto todavía resulta en cero inter o intra- tráfico vlan: el host en esa VLAN ni siquiera puede hacer ping a su propia puerta de enlace si aplico la lista en la dirección de entrada (también probé una variante en la dirección de salida: ¡exactamente el mismo resultado!)
A continuación se muestra la configuración del interruptor:
Running configuration:
; J8697A Configuration Editor; Created on release #K.15.09.0012
; Ver #03:01.1f.ef:f2
hostname "HP-5406zl"
module 1 type j8702a
module 2 type j8708a
module 3 type j9546a
module 4 type j8708a
power-over-ethernet pre-std-detect
ip access-list extended "SecureContent"
10 permit ip 192.168.101.1 0.0.0.255 192.168.101.1 0.0.0.255
20 permit ip 192.168.50.1 0.0.0.255 192.168.101.1 0.0.0.255
exit
ip route 0.0.0.0 0.0.0.0 172.16.0.1
ip routing
snmp-server community "public" unrestricted
snmp-server contact "Person" location "Place"
vlan 1
name "DEFAULT_VLAN"
no untagged A1-A20,A23-A24,B1-B4,C1-C8,D1-D4
untagged A21-A22
ip address 192.168.1.10 255.255.255.0
jumbo
exit
vlan 50
name "Editors"
untagged A2-A19,B1-B3,C1-C8,D1-D4
tagged A23-A24
ip address 192.168.50.1 255.255.255.0
jumbo
exit
vlan 100
name "IO"
tagged A23-A24
ip address 192.168.100.1 255.255.255.0
exit
vlan 101
name "SecureContent"
untagged A1
ip address 192.168.101.1 255.255.255.0
ip access-group “SecureContent” in
exit
vlan 200
name "Corp"
tagged A23-A24
ip address 192.168.200.1 255.255.255.0
ip helper-address 192.168.50.2
exit
vlan 800
name "IT"
untagged A23-A24
ip address 172.17.0.1 255.255.255.0
exit
vlan 899
name "DMZ"
untagged B4
tagged A23-A24
ip address 172.18.0.1 255.255.255.0
jumbo
exit
vlan 900
name "Routed"
untagged A20
tagged A23-A24
ip address 172.16.0.2 255.255.255.252
exit
vlan 999
name "VLAN999"
no ip address
exit
EDITADO para agregar información relevante del chasis:
Software revision : K.15.09.0012 Base MAC Addr : 002561-f80000
ROM Version : K.15.30 Serial Number : XXXXXXXX
Allow V1 Modules : Yes
Opacity Shields : Not Installed
¡Gracias de antemano por tu ayuda!