înregistrare Logare
Puncte:0
Lunde avatar Server

Limitarea gazdelor dintr-o rețea

drapel jp
Lunde

Am nevoie de niște sfaturi de rețea și sper că unii dintre voi mă veți putea ajuta. Rețeaua mea este prezentată în această diagramă bloc: Reţea Comutatoarele ethernet sunt de la Microchip, model KSZ9897, care este un comutator de nivel 2 gestionat. Comutatorul are mai multe caracteristici, de exemplu, acceptă IEEE 802.1X (autentificare bazată pe port și filtrare Listă de control al accesului (ACL)) și IEEE 802.1Q (VLAN). Toate gazdele sunt PC-uri cu Windows 10. Am nevoie de următoarele:

  • Gazdele 1A, 1B și 1C trebuie să aibă aceeași adresă IP fixă ​​(acest lucru se datorează unui proces de inițializare, unde gazdele 2A, 2B și 2C nu știu încă dacă se află în Unitatea A, Unitatea B sau Unitatea C. Aceste informații sunt comunicate de la gazda 1, motiv pentru care am nevoie de gazdele 1A, 1B și 1C să aibă aceeași adresă IP, pentru ca gazda 2 să știe unde să trimită cererea de identificare)
  • Gazda 1A poate comunica cu gazda 2A și nicio altă gazdă
  • Gazda 2A poate comunica cu toate gazdele, cu excepția gazdei 1B și gazdei 1C
  • Gazda 1B poate comunica cu gazda 2B și nicio altă gazdă
  • Gazda 2B poate comunica cu toate gazdele, cu excepția gazdei 1A și gazdei 1C
  • Gazda 1C poate comunica cu gazda 2C și nicio altă gazdă
  • Gazda 2C poate comunica cu toate gazdele, cu excepția gazdei 1A și a gazdei 1B

În acest moment, toate gazdele sunt pe aceeași subrețea, să spunem 192.168.1.X, masca de subrețea 255.255.255.0. Prima mea idee a fost să le dau gazdelor 1A, 1B și 1C o adresă IP pe o altă subrețea, să zicem 192.168.2.1, și să le dau gazdelor 2A, 2B și 2C o adresă IP alias pe aceeași subrețea. În acest fel, Hosts 2 va putea comunica pe ambele subrețele. Cu toate acestea, acest lucru nu va funcționa, deoarece de ex. Gazda 2A va putea comunica atât cu 1B, cât și cu 1C. Acest lucru va genera adrese IP duplicate pe aceeași subrețea. Dar plasarea Host 1A, Host 1B și Host 1C pe trei subrețele diferite este, de asemenea, o problemă, din cauza problemei de identificare subliniate în primul punct din listă.Mi se pare o problemă de pui și ou, dar sper că îmi lipsește ceva care poate remedia problema, poate VLAN-uri, controlul accesului sau altceva.

45
0 + 0
Davidw avatar
drapel in
Davidw
Practic, pentru asta sunt VLAN-urile. Dar veți avea nevoie de un router și configurați-l ca „router pe un stick”.
0
Răspunde
Lunde avatar
drapel jp
Lunde
Aceasta este o soluție viabilă, dar dacă este posibil, aș dori să omit un router. Vă puteți gândi la o modalitate de a restricționa traficul pe aceeași subrețea? De exemplu. de la un port de comutare la altul pentru o anumită adresă IP? Ca rutare statică, dar pentru un comutator. Nu sunt sigur că e chiar un lucru. Poate controlul accesului mă poate ajuta.
0
Răspunde
Davidw avatar
drapel in
Davidw
Nu fără un comutator de nivel trei, dacă utilizați adresa IP.
0
Răspunde
Davidw avatar
drapel in
Davidw
Și ACL-urile depind de măștile de rețea, care necesită și rutare.
0
Răspunde
Lunde avatar
drapel jp
Lunde
Ok, aveți o idee despre care sunt opțiunile mele dacă cobor un strat în modelul OSI, adică adresele MAC? Gazdele 1A, 1B și 1C vor avea adrese MAC diferite.
0
Răspunde
Puncte:0
Zac67 avatar Server
drapel ru
Zac67

În funcție de ceea ce acceptă de fapt acel comutator pentru ACL-uri (nu găsesc niciun manual), ACL-urile legate de porturi ar trebui să facă truc - nu este nevoie de VLAN-uri sau de rutare. Presupun că gazdele sunt configurate static, fără DHCP. Sintaxa probabil variază, dar sper că înțelegeți ideea. Pur și simplu aplicați ACL-ul la toate porturile de pe toate comutatoarele. Alternativ, aplicarea ACL-ului la VLAN-ul implicit poate funcționa și.

  • gazdele 1A-5A folosesc adrese IP 192.168.1.1/24 - 192.168.1.5/24
  • gazdele 1B-5B folosesc adrese IP 192.168.1.11/24 - 192.168.1.15/24
  • gazdele 1C-5C folosesc adrese IP 192.168.1.21/24 - 192.168.1.25/24
  • gazdele 1D-5D folosesc adrese IP 192.168.1.31/24 - 192.168.1.35/24

ACL:

1000 permis ip 192.168.1.1/32 192.168.1.2/32
1010 deny ip 192.168.1.2/32 192.168.1.11/32
1020 deny ip 192.168.1.2/32 192.168.1.21/32
1030 permis ip 192.168.1.2/32 orice
1040 permis ip 192.168.1.11/32 192.168.1.12/32
1050 deny ip 192.168.1.12/32 192.168.1.1/32
1060 deny ip 192.168.1.12/32 192.168.1.21/32
1070 permis ip 192.168.1.12/32 orice
1080 permis ip 192.168.1.21/32 192.168.1.22/32
1090 refuză 192.168.1.22/32 192.168.1.1/32
1100 refuza 192.168.1.22/32 192.168.1.11/32
1110 permis 192.168.1.22/32 orice

Rețineți că există un implicit nega orice regulă la sfârșitul ACL, așa că dacă nu permiteți în mod explicit ceva, este refuzat. Trebuie să permiteți ambii direcțiile unei comunicări - ACL-urile sunt apatride. Regulile sunt evaluate pe a prima potrivire baza de sus în jos, deci dacă o anterioară nega meciuri, un ulterior permite nu este folosit.

Dacă comutatorul nu acceptă /32 (fără biți wildcard) trebuie să folosiți 0.0.0.0 in schimb. Biții wildcard nu au o relație directă cu masca de subrețea. În schimb, ei definesc biți care sunt ignorați în timpul potrivirii. 192.168.1.2/31 sau 192.168.1.2 0.0.0.1 se potrivește 192.168.1.2 și 192.168.1.3. 192. 192.168.1.3 0.0.0.2 se potrivește 192.168.1.1 și 192.168.1.3.

0 + 0
Lunde avatar
drapel jp
Lunde
Aceasta este o soluție bună, dar numai „în stare staționară”. Aveți dreptate când presupuneți că nu este utilizat DHCP, dar din cauza problemei de identificare prezentate în primul meu punct, gazda 2A, 2B și 2C nu știu în ce unitate sunt plasate până când nu pot solicita aceste informații de la gazda 1. Deci, atribuirea IP-urile, așa cum sugerați, nu este o opțiune. Dar problema mea ar fi rezolvată dacă comutatorul ar putea fi configurat să redirecționeze numai pachete de la o anumită adresă IP la un anumit port. Apoi aș putea configura gazdele 1A, 1B și 1C pe, de ex. 192.168.2.1 și oferă gazdelor 2A, 2B și 2C un IP alias de 192.168.2.2.
0
Răspunde
Lunde avatar
drapel jp
Lunde
Ideea este că, dacă portul de comutare 1 redirecționează pachetele de la 192.168.2.1 la portul 2 și niciun alt port, acest lucru nu ar duce la conflicte de copiere IP. De asemenea, comutatorul ar fi configurat pentru a transmite pachete de la 192.168.2.2 de pe portul 2 la portul 1 exclusiv. În acest fel, subrețeaua 192.168.2.X de pe fiecare unitate va fi izolată. Dar acest lucru necesită ca comutatorul să poată redirecționa traficul pe baza unui „tabel de rutare static” care specifică IP-urile și porturile către care să redirecționeze. Este posibil să se facă acest lucru? Toate configurațiile KSZ9897 se fac la nivel de registru prin interfața SPI de la un procesor.
0
Răspunde
Lunde avatar
drapel jp
Lunde
Nu cred că este disponibil un manual pentru comutator, dar registrele sunt disponibile în fișa de date: https://ww1.microchip.com/downloads/en/DeviceDoc/KSZ9897R-Data-Sheet-DS00002330D.pdf
0
Răspunde
Zac67 avatar
drapel ru
Zac67
Ne pare rău, dezvoltarea hardware și software nu este la subiect aici, consultați [ajutor].
0
Răspunde
Lunde avatar
drapel jp
Lunde
Ok, scuze pentru asta, nu eram conștient de asta.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.