サブネットをルーティングして、異なるVLAN HPProcurveの1つのIPアドレスにのみアクセスする
サブネット192.168.100.0/26を持つVLAN 300をルーティングして、VLAN 220の10.220.1.10にのみアクセスしようとしていますが、構成に問題があります。 HPのドキュメントでは、IP RIPを有効にする必要がありますが、VLAN 220の10.220.1.10にアクセスするだけで、220 VLAN全体にアクセスできます。
これは、AS400サーバーに接続しているRF Guns用であり、トラフィックを他のすべてから分離しようとしています。したがって、RFガンは192.168.100.0/26のVLAN 300に存在し、AS400はIPとして10.220.1.10を使用してVLAN 220に存在します。
複数のシステムが存在するサブネット上の単一のシステムにアクセスしようとしている場合...
HPルーターを経由する必要がある10.220.1.10システムに到達するように指定されたエンドシステムに静的ルートを配置します。次に、ルーターのアクセスリストを使用して、意図したトラフィックのみをルーティングしていることを確認します。
ルーターはサブネットの観点から考えるため、ルーティングを使用して(簡単に)必要なことを実行することはできません。ネットワークアドレスとマスクに基づいて、アクセスできるサブネットを検討します。 10.220.1.10と同じネットワーク上にインターフェースがある場合、それ自体を、そのサブネット上の任意のホストにトラフィックをルーティングするための実行可能な候補と見なします。そして、それはあなたが望むものではありません、あなたはただ1つのホストが欲しいだけです。
覚えておくべきもう一つのことは、ルーターはVLANが何であるかを知らないということです。ルーターはレイヤー3です。ルーターはIPアドレスのみを考慮します。それらは、IPインターフェースを介してVLANを参照するか、VLANトランクを処理している場合はサブインターフェースを参照します。
編集
HPルーターがデフォルトゲートウェイでもある場合は、静的ルートについて心配する必要はありません。 10.220.1.10につながるインターフェイスにACLを配置するだけです。
試行錯誤の末、以下の解決策にたどり着き、設計どおりに機能します。助けてくれたすべてに感謝します。
ip access-list extended "100"
10 permit ip 192.168.100.0 0.0.0.63 10.220.1.10 0.0.0.0
20 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
Vlan 300
ip access-group 100 in
ソース192.168.100.1xxxxxxxxxxxxx(VLAN 300のVLANIPアドレス)にpingを実行でき、10.220.1.10以外のクライアントから正常な応答を取得できますが、10.220からの応答しか取得できません。 .1.10 VLAN 300の範囲で実際のクライアントを操作する場合。192.168.100.1から10.220.1.xxxデバイスへのこれらのping応答を取得していますか(vlan IP VLAN 300)それがスイッチであるという理由だけでVLAN IPであり、アクセスリストルールは適用されませんVLAN IPですが、クライアント?
RIPを有効にし、ACLを実行した後。 ACLについて少し説明したように、 http://vmfocus.com/2012/10/14/how-to-configure-access-lists-route-between-vlans-on-hp-v1910-24g /
構成ではそのようになります。(ただし、私はHPスイッチで最高ではありません。)
ip access-list extended "220"
10 permit ip 192.168.100.0 255.255.255.192 10.220.1.10 255.255.255.255
...
vlan 220
name "..."
untagged 2
tagged A1
ip address 10.220.1.1 255.255.255.0
exit