Puncte:0

Rutarea diferitelor subrețele pe un comutator

drapel jp

Configurația mea: Am un comutator Ethernet gestionat de nivel 2 cu 7 porturi (KSZ9897). Comutatorul dispune de dot1Q (VLAN) și dot1X (ACL). ACL este promovat pentru a putea filtra pe stratul 3 (IP) și 4 (TCP/UDP). Este posibil, cu aceste caracteristici, să vă asigurați că o anumită adresă IP este redirecționată numai către un anumit port de pe switch? Să spunem, dacă un pachet cu IP sursă 192.168.1.2 intră în portul 5, acesta poate fi redirecționat numai către portul 6 etc.

Ron Maupin avatar
drapel us
Acesta este un comutator de nivel 2, iar comutatoarele de nivel 2 nu sunt direcționate, deci nu există nicio rutare pe comutator. Layer-2 comută cadrele de punte, nu pachetele de rutare. Aveți nevoie de un router (comutatoarele de nivel 3 au un modul de rutare) pentru a ruta pachetele între rețele.
Tilman Schmidt avatar
drapel bd
Titlul dvs. pare a fi o întrebare complet diferită de ceea ce descrieți în text. Cred că ai greșit terminologia. Nici rutarea și nici subrețelele nu par să fie implicate în problema pe care o descrieți.
Lunde avatar
drapel jp
Sunt conștient că layer2 sunt doar adrese MAC, dar în fișa de date a secțiunii switch 4.4.16, sub filtrare ACL, se precizează că switch-ul poate: âefectuează filtrarea pe stratul 2 de intrare MAC, layer 3 IP sau pachete TCP/UDP de nivel 4.â Poate că terminologia mea nu a fost clară, dar ceea ce am nevoie este să mă asigur că traficul de intrare pe portul 5 cu IP sursă 192.168.1.1 poate fi redirecționat numai către portul 4 și traficul de intrare. pe portul 5 cu IP sursă 192.168.2.1 poate fi redirecționat numai către portul 3. Aceste două IP-uri sunt pe subrețele diferite, de unde provine titlul. Ne pare rău pentru confuzie
Lunde avatar
drapel jp
În mod specific, ceea ce mă întrebam este să aplic ACL pe portul de intrare (ar fi portul 5 din comentariul meu anterior), potrivirea adresei IP (așa cum este specificat în tabelul 4-18 din fișa de date) și aplicarea acțiunii pentru a redirecționa numai către un port specific (după cum este specificat în tabelul 4-20 din fișa de date). Dar nu am încercat niciodată acest lucru înainte, așa că nu sunt sigur că ar funcționa în practică.
Puncte:0
drapel ru

ACL-urile filtrează după adresa IP, protocolul nivelului de transport și numărul portului L4. Nu folosesc numere de port de comutare.

Ceea ce cereți trebuie făcut numai pe adresa IP sursă și destinație/proto+port L4.

Alte metode de restricționare a traficului între nodurile finale includ VLAN-uri (în cazul în care restricționați traficul pe un router intermediar), VLAN-uri private (unde porturile de acces pot vorbi doar cu porturile de uplink) sau filtrarea portului sursă (similar cu VLAN-urile private), în funcție de tipul de comutator și set de caracteristici.

Lunde avatar
drapel jp
Mulțumesc că ai clarificat asta. Puteți sugera o metodă, dacă există, pentru restricționarea traficului folosind VLAN-uri? Bănuiesc că ar fi ușor dacă aș putea specifica de ex. porturile 5 și 6 să fie în VLAN 10, iar porturile rămase să fie în VLAN 20. Acest lucru ar asigura că portul 6 nu ar putea comunica cu, de ex. portul 3. Dar am nevoie de portul 5 pentru a putea comunica cu toate porturile, dar pentru a restricționa traficul pe baza IP-ului sursă. Poate că ar putea funcționa dacă portul 5 ar fi un port trunk și gazda de pe acel port ar fi putut efectua etichetarea VLAN, pe baza IP-ului sursă?
Zac67 avatar
drapel ru
Cu VLAN-urile, separați gazdele în funcție de zonă de securitate, fiecare asemănătoare cu o subrețea VLAN și IP.Comunicarea între VLAN-uri necesită un router/gateway unde puteți controla/filtra traficul. Poate că ar trebui să adăugați o diagramă inteligibilă la întrebarea dvs., inclusiv fluxurile de trafic preconizate, care să ne permită să înțelegem problema dvs. În prezent, cred că ești mai bine cu ACL-uri.
Lunde avatar
drapel jp
Ok, aceasta este configurația mea. Am următoarele IP-uri conectate la comutator. Port 1 - 4: 192.168.1.X și 192.168.2.X, Port 5 + 6: 192.168.1.1, 192.168.2.1 și 192.168.3.1, Port 7: 192.168.3.10. Traficul din portul 7 ar trebui să fie permis numai către porturile 5 + 6. Din portul 5+6, 192.168.1.1 și 192.168.2.1 ar trebui să fie permis către porturile 1-4 și 192.168.3.1 ar trebui să fie permis numai pe portul 7. Am nevoie de aceste restricții pentru a evita duplicatele IP de la dispozitivele conectate pe porturile 1-4 (aceste IP-uri sunt fixe, deci nu pot să le schimb).
Lunde avatar
drapel jp
De exemplu, 192.168.3.10 va fi prezent și în aval pe portul 1-4, motiv pentru care am nevoie de comutator pentru a bloca traficul către acest IP pe acele porturi.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.