Регистрация Войти
Рейтинг:0
Lunde avatar Server

Маршрутизация разных подсетей на коммутаторе

флаг jp
Lunde

Моя установка: У меня есть управляемый 7-портовый коммутатор Ethernet уровня 2 (KSZ9897). Коммутатор поддерживает dot1Q (VLAN) и dot1X (ACL). Сообщается, что ACL может фильтровать на уровнях 3 (IP) и 4 (TCP/UDP). Можно ли с помощью этих функций обеспечить переадресацию определенного IP-адреса только на определенный порт коммутатора? Скажем, если пакет с IP-адресом источника 192.168.1.2 входит в порт 5, он может быть перенаправлен только на порт 6 и т. д.

43
0 + 0
Ron Maupin avatar
флаг us
Ron Maupin
Это коммутатор уровня 2, а коммутаторы уровня 2 не маршрутизируют, поэтому на коммутаторе нет маршрутизации. Коммутаторы уровня 2 передают кадры моста, а не пакеты маршрута. Вам нужен маршрутизатор (коммутаторы уровня 3 имеют модуль маршрутизации) для маршрутизации пакетов между сетями.
0
Ответить
Tilman Schmidt avatar
флаг bd
Tilman Schmidt
Ваш заголовок кажется совершенно другим вопросом, чем то, что вы описываете в тексте. Я думаю, вы просто ошиблись в терминологии. Ни маршрутизация, ни подсети, по-видимому, не связаны с проблемой, которую вы описываете.
0
Ответить
Lunde avatar
флаг jp
Lunde
Я знаю, что уровень 2 — это только MAC-адреса, но в спецификации коммутатора, раздел 4.4.16, в разделе «Фильтрация ACL» указано, что коммутатор может: «выполнять фильтрацию входящего MAC-адреса уровня 2, IP-адреса уровня 3 или TCP/UDP-пакеты уровня 4». Возможно, моя терминология была непонятна, но мне нужно убедиться, что входящий трафик на порт 5 с исходным IP-адресом 192.168.1.1 разрешено перенаправлять только на порт 4, а входящий трафик на порт 5 с исходным IP-адресом 192.168.2.1 разрешено перенаправляться только на порт 3. Эти два IP-адреса находятся в разных подсетях, откуда и произошло название. Извините за путаницу
0
Ответить
Lunde avatar
флаг jp
Lunde
В частности, мне было интересно применить ACL к входному порту (это будет порт 5 из моего предыдущего комментария), сопоставить IP-адрес (как указано в таблице 4-18 в таблице данных) и применить действие только для пересылки определенный порт (как указано в таблице 4-20 в техпаспорте). Но я никогда не пробовал это раньше, поэтому не уверен, что это сработает на практике.
0
Ответить
Рейтинг:0
Zac67 avatar Server
флаг ru
Zac67

ACL фильтруют по IP-адресу, протоколу транспортного уровня и номеру порта L4. Они не используют номера портов коммутатора.

То, о чем вы просите, должно быть выполнено только на исходном и целевом IP-адресе/прото+порте L4.

Другие методы ограничения трафика между конечными узлами включают в себя виртуальные локальные сети (когда вы ограничиваете трафик на промежуточном маршрутизаторе), частные виртуальные локальные сети (где порты доступа могут взаимодействовать только с восходящими портами) или фильтрацию исходного порта (аналогично частным виртуальным локальным сетям), в зависимости от типа коммутатора. и набор функций.

0 + 0
Lunde avatar
флаг jp
Lunde
Спасибо, что прояснили это. Можете ли вы предложить метод, если он существует, для ограничения трафика с использованием VLAN? Я думаю, было бы легко, если бы я мог указать, например. порт 5 и 6 должны быть в VLAN 10, а остальные порты должны быть в VLAN 20. Это гарантирует, что порт 6 не сможет взаимодействовать, например, с. порт 3. Но мне нужен порт 5, чтобы иметь возможность общаться со всеми портами, но для ограничения трафика на основе исходного IP. Может быть, это могло бы работать, если бы порт 5 был магистральным портом, и хост на этом порту мог бы выполнять тегирование VLAN на основе IP-адреса источника?
0
Ответить
Zac67 avatar
флаг ru
Zac67
С помощью VLAN вы разделяете хосты по зонам безопасности, каждая из которых похожа на VLAN и IP-подсеть.Для связи между VLAN требуется маршрутизатор/шлюз, где вы можете контролировать/фильтровать трафик. Возможно, вам следует добавить к вашему вопросу понятную диаграмму, включая предполагаемые потоки трафика, что позволило бы нам понять вашу проблему. В настоящее время я думаю, что вам лучше использовать ACL.
0
Ответить
Lunde avatar
флаг jp
Lunde
Хорошо, это моя установка. У меня есть следующие IP-адреса, подключенные к коммутатору. Порт 1–4: 192.168.1.X и 192.168.2.X, порт 5 + 6: 192.168.1.1, 192.168.2.1 и 192.168.3.1, порт 7: 192.168.3.10. Трафик с порта 7 должен быть разрешен только на порты 5 + 6. С порта 5+6 192.168.1.1 и 192.168.2.1 должны быть разрешены на порты 1-4 и 192.168.3.1 должны быть разрешены только на порт 7. Мне нужны эти ограничения чтобы избежать дублирования IP-адресов от устройств, подключенных к портам 1-4 (эти IP-адреса фиксированы, поэтому я не могу их изменить).
0
Ответить
Lunde avatar
флаг jp
Lunde
Например, 192.168.3.10 также будет присутствовать в нисходящем направлении на портах 1-4, поэтому мне нужен коммутатор для блокировки трафика на этот IP-адрес на этих портах.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.