HP Procurve 5406zl-ACLの問題

VLANインターフェイスのACLに問題があります。ここでHPのドキュメントをフォローしました：http : //h20628.www2.hp.com/km-ext/kmcsdirect/emr_na-c02609963-3.pdf

次のことを実行したい：

VLAN 101はVLAN 50とのみ通信できる必要があります-他のVLAN、インターネットアクセスはありません。

最初は、次のアクセスリストを試しました。

ip access-list extended "SecureContent"
    10 permit ip 192.168.50.0 0.0.0.255 192.168.101.0 0.0.0.255
    20 remark "SecurityVLAN"

次のコマンドを使用して、このACLを「in」のVLAN 101に適用しました。

  vlan 101
    ip access-group "SecureContent" in

この構成では、そのVLANでの通信はゼロになります。ポートA1の192.168.101.2のIPは、スイッチVLAN IPである192.168.101.1にpingできません。アクセスリストを次のように変更した場合：

10 permit ip 192.168.101.1 0.0.0.255 192.168.101.1 0.0.0.255 
20 permit ip 192.168.50.1 0.0.0.255 192.168.101.1 0.0.0.255

...これにより、VLAN上のクライアントはデフォルトゲートウェイにpingできますが、50.1ゲートウェイにはpingできません。それは私には何の意味もありません-VLAN 101 IPインターフェースは論理的にそのVLAN 101の「内部」であると考えるべきです、正しいですか

私はこのアクセスリストのさまざまなバージョンを試してみましたが、単一のIPをブロックし、「permit ip any any」ステートメントで他のすべてを許可する標準のアクセスリストを実行することさえしました。 vlanトラフィック-リストをインバウンド方向に適用した場合、そのVLAN上のホストは独自のゲートウェイにpingすることさえできません（アウトバウンド方向のバリアントも試しました-まったく同じ結果です！）

以下はスイッチ構成です：

    Running configuration:

; J8697A Configuration Editor; Created on release #K.15.09.0012
; Ver #03:01.1f.ef:f2
hostname "HP-5406zl"
module 1 type j8702a
module 2 type j8708a
module 3 type j9546a
module 4 type j8708a
power-over-ethernet pre-std-detect
ip access-list extended "SecureContent"
     10 permit ip 192.168.101.1 0.0.0.255 192.168.101.1 0.0.0.255
     20 permit ip 192.168.50.1 0.0.0.255 192.168.101.1 0.0.0.255
   exit
ip route 0.0.0.0 0.0.0.0 172.16.0.1
ip routing
snmp-server community "public" unrestricted
snmp-server contact "Person" location "Place"
vlan 1
   name "DEFAULT_VLAN"
   no untagged A1-A20,A23-A24,B1-B4,C1-C8,D1-D4
   untagged A21-A22
   ip address 192.168.1.10 255.255.255.0
   jumbo
   exit
vlan 50
   name "Editors"
   untagged A2-A19,B1-B3,C1-C8,D1-D4
   tagged A23-A24
   ip address 192.168.50.1 255.255.255.0
   jumbo
   exit
vlan 100
   name "IO"
   tagged A23-A24
   ip address 192.168.100.1 255.255.255.0
   exit
vlan 101
   name "SecureContent"
   untagged A1
   ip address 192.168.101.1 255.255.255.0
   ip access-group “SecureContent” in
   exit
vlan 200
   name "Corp"
   tagged A23-A24
   ip address 192.168.200.1 255.255.255.0
   ip helper-address 192.168.50.2
   exit
vlan 800
   name "IT"
   untagged A23-A24
   ip address 172.17.0.1 255.255.255.0
   exit
vlan 899
   name "DMZ"
   untagged B4
   tagged A23-A24
   ip address 172.18.0.1 255.255.255.0
   jumbo
   exit
vlan 900
   name "Routed"
   untagged A20
   tagged A23-A24
   ip address 172.16.0.2 255.255.255.252
   exit
vlan 999
   name "VLAN999"
   no ip address
   exit

関連するシャーシ情報を追加するために編集：

  Software revision  : K.15.09.0012         Base MAC Addr      : 002561-f80000
  ROM Version        : K.15.30              Serial Number      : XXXXXXXX
  Allow V1 Modules   : Yes     

         Opacity Shields    : Not Installed

よろしくお願いします！

デバイスのアクセスセキュリティガイドによると、ACEの最初のアドレスとマスクはソースであり、2番目のアドレスとマスクは宛先です。（念のため、ACEはアクセス制御エントリです。つまり、アクセスリストが作成される任意の行です）

ACLのACE 20は、送信元192.168.50.0/24および宛先192.168.101.0/24を示し、VLAN 101入力でACLを適用します。ただし、VLAN 101は192.168.101.0/24であるため、VLAN 101の入力トラフィックはすべて192.168.101.0/24の送信元アドレスを持ちます。そのため、ACLのACE 20が間違っています。送信元192.168.101.0/24および宛先192.168.50.0/24のアクション許可を持つACEが必要です。

ip access-list extended "SecureContent"
    10 permit ip 192.168.101.0 0.0.0.255 192.168.50.0 0.0.0.255

このトラフィックの戻る方法については、VLAN 101アウトバウンドを通過するため、このトラフィックにACLを適用しないでください。許可する必要があります。

戻るトラフィックが許可されていない場合は、ACLに戻る方法を追加する必要があります。

ip access-list extended "SecureContent"
    10 permit ip 192.168.101.0 0.0.0.255 192.168.50.0 0.0.0.255
    20 permit ip 192.168.50.0 0.0.0.255 192.168.101.0 0.0.0.255

上記の行を変更して、番号付きエントリの適切なACL構造を反映するように編集しました。（10、20など）。

この問題は、HPのネットワーキングギアがACLを処理する方法（シスコのネットワーキングバックグラウンド）とCiscoの違いによるもののようです。

このドキュメントによると、HP ACLはステートレスであり、双方向トラフィックエントリ（発信トラフィックと戻りトラフィック用）を含める必要があります：http : //tinyurl.com/qbfemk6（HPのサイトのPDFへのリンク）。

これは、この「癖」を実装または考慮しない構成例を表示する上記の高度なトラフィック管理ガイドとは対照的です。例には、そのような戻りトラフィックエントリが含まれていません。

得られた教訓：メーカーのドキュメントが一貫していて正確であると信頼しないでください。