Tham gia Đăng nhập
Điểm:0
Lunde avatar Server

Giới hạn máy chủ trên mạng

lá cờ jp
Lunde

Tôi đang cần một số lời khuyên về mạng và hy vọng một số bạn sẽ có thể giúp tôi. Mạng của tôi được hiển thị trong sơ đồ khối này: Mạng Bộ chuyển mạch ethernet của Microchip, kiểu KSZ9897, là bộ chuyển mạch lớp 2 được quản lý. Công tắc này có nhiều tính năng, chẳng hạn như nó hỗ trợ IEEE 802.1X (xác thực dựa trên cổng và lọc Danh sách điều khiển truy cập (ACL)) và IEEE 802.1Q (VLAN). Tất cả các máy chủ đều là PC chạy Windows 10. Tôi cần những điều sau đây:

  • Các máy chủ 1A, 1B và 1C phải có cùng một địa chỉ IP cố định (điều này là do quá trình khởi tạo, trong đó các máy chủ 2A, 2B và 2C chưa biết chúng nằm trong Đơn vị A, Đơn vị B hay Đơn vị C. Thông tin này được truyền đạt từ Máy chủ 1, đó là lý do tại sao tôi cần Máy chủ 1A, 1B và 1C có cùng địa chỉ IP để Máy chủ 2 biết nơi gửi yêu cầu nhận dạng)
  • Máy chủ 1A có thể giao tiếp với Máy chủ 2A và không có máy chủ nào khác
  • Máy chủ 2A có thể giao tiếp với tất cả các máy chủ ngoại trừ Máy chủ 1B và Máy chủ 1C
  • Máy chủ 1B có thể giao tiếp với Máy chủ 2B và không có máy chủ nào khác
  • Máy chủ 2B có thể giao tiếp với tất cả các máy chủ ngoại trừ Máy chủ 1A và Máy chủ 1C
  • Máy chủ 1C có thể giao tiếp với Máy chủ 2C và không có máy chủ nào khác
  • Máy chủ 2C có thể giao tiếp với tất cả các máy chủ ngoại trừ Máy chủ 1A và Máy chủ 1B

Hiện tại, tất cả các máy chủ đều nằm trên cùng một mạng con, giả sử 192.168.1.X, mặt nạ mạng con 255.255.255.0. Ý tưởng đầu tiên của tôi là cung cấp cho các máy chủ 1A, 1B và 1C một địa chỉ IP trên một mạng con khác, chẳng hạn như 192.168.2.1 và cung cấp cho các máy chủ 2A, 2B và 2C một địa chỉ IP bí danh trên cùng một mạng con đó. Bằng cách này, Máy chủ 2 sẽ có thể giao tiếp trên cả hai mạng con. Tuy nhiên, điều này sẽ không hoạt động, ví dụ: Máy chủ 2A sẽ có thể giao tiếp với cả 1B và 1C. Điều này sẽ khiến các địa chỉ trùng lặp IP trên cùng một mạng con. Nhưng việc đặt Máy chủ 1A, Máy chủ 1B và Máy chủ 1C trên ba mạng con khác nhau cũng là một vấn đề do vấn đề nhận dạng được nêu ở điểm đầu tiên trong danh sách.Đối với tôi, nó giống như một vấn đề về con gà và quả trứng, nhưng hy vọng rằng tôi đang thiếu thứ gì đó có thể khắc phục được sự cố, có thể là Vlan, kiểm soát truy cập hoặc thứ gì đó khác.

45
0 + 0
Davidw avatar
lá cờ in
Davidw
Về cơ bản, đây là những gì Vlan dành cho. Nhưng bạn sẽ cần một bộ định tuyến và định cấu hình nó là "bộ định tuyến trên một cây gậy".
0
Hồi đáp
Lunde avatar
lá cờ jp
Lunde
Đây là một giải pháp khả thi, nhưng nếu có thể, tôi muốn bỏ qua bộ định tuyến. Bạn có thể nghĩ ra cách hạn chế lưu lượng trên cùng một mạng con không? Ví dụ. từ cổng chuyển đổi này sang cổng chuyển đổi khác cho một địa chỉ IP cụ thể? Giống như định tuyến tĩnh, nhưng dành cho switch. Không chắc đó thậm chí là một điều. Có lẽ kiểm soát truy cập có thể giúp tôi.
0
Hồi đáp
Davidw avatar
lá cờ in
Davidw
Không phải không có công tắc lớp ba, nếu bạn đang sử dụng địa chỉ IP.
0
Hồi đáp
Davidw avatar
lá cờ in
Davidw
Và ACL phụ thuộc vào mặt nạ mạng, cũng yêu cầu định tuyến.
0
Hồi đáp
Lunde avatar
lá cờ jp
Lunde
Ok, bạn có biết các tùy chọn của tôi là gì nếu tôi đi xuống một lớp trong mô hình OSI, tức là địa chỉ MAC không? Máy chủ 1A, 1B và 1C sẽ có các địa chỉ MAC khác nhau.
0
Hồi đáp
Điểm:0
Zac67 avatar Server
lá cờ ru
Zac67

Tùy thuộc vào những gì công tắc đó thực sự hỗ trợ cho ACL (không thể tìm thấy bất kỳ hướng dẫn nào), các ACL gắn cổng sẽ thực hiện thủ thuật - không cần Vlan hoặc định tuyến. Tôi giả sử các máy chủ được định cấu hình tĩnh, không có DHCP. Cú pháp có thể khác nhau nhưng tôi hy vọng bạn hiểu ý. Chỉ cần áp dụng ACL cho tất cả các cổng trên tất cả các công tắc. Ngoài ra, áp dụng ACL cho VLAN mặc định cũng có thể hoạt động.

  • máy chủ 1A-5A sử dụng địa chỉ IP 192.168.1.1/24 - 192.168.1.5/24
  • máy chủ 1B-5B sử dụng địa chỉ IP 192.168.1.11/24 - 192.168.1.15/24
  • máy chủ 1C-5C sử dụng địa chỉ IP 192.168.1.21/24 - 192.168.1.25/24
  • máy chủ 1D-5D sử dụng địa chỉ IP 192.168.1.31/24 - 192.168.1.35/24

ACL:

1000 giấy phép ip 192.168.1.1/32 192.168.1.2/32
1010 từ chối ip 192.168.1.2/32 192.168.1.11/32
1020 từ chối ip 192.168.1.2/32 192.168.1.21/32
1030 cho phép ip 192.168.1.2/32 bất kỳ
1040 cho phép ip 192.168.1.11/32 192.168.1.12/32
1050 từ chối ip 192.168.1.12/32 192.168.1.1/32
1060 từ chối ip 192.168.1.12/32 192.168.1.21/32
1070 cho phép ip 192.168.1.12/32 bất kỳ
1080 cho phép ip 192.168.1.21/32 192.168.1.22/32
1090 từ chối 192.168.1.22/32 192.168.1.1/32
1100 từ chối 192.168.1.22/32 192.168.1.11/32
1110 giấy phép 192.168.1.22/32 bất kỳ

Lưu ý rằng có một ngụ ý từ chối bất kỳ ở cuối ACL, vì vậy nếu bạn không cho phép một cách rõ ràng điều gì đó thì nó sẽ bị từ chối. Bạn cần phải cho phép cả hai hướng của một giao tiếp - ACL là không trạng thái. Các quy tắc được đánh giá trên một phù hợp đầu tiên cơ sở từ trên xuống dưới, vì vậy nếu trước đó phủ nhận trận đấu, một tiếp theo cho phép làm gì không được sử dụng.

Nếu công tắc không chấp nhận /32 (không có bit ký tự đại diện) bạn cần sử dụng 0.0.0.0 thay thế. Các bit ký tự đại diện không có quan hệ trực tiếp với mặt nạ mạng con. Thay vào đó, chúng xác định các bit bị bỏ qua khi so khớp. 192.168.1.2/31 hoặc 192.168.1.2 0.0.0.1 khớp với 192.168.1.2 và 192.168.1.3. 192. 192.168.1.3 0.0.0.2 khớp với 192.168.1.1 và 192.168.1.3.

0 + 0
Lunde avatar
lá cờ jp
Lunde
Đây là một giải pháp tốt, nhưng chỉ âở trạng thái ổn định. Bạn đã đúng khi cho rằng không có DHCP nào được sử dụng, nhưng do vấn đề nhận dạng được nêu trong điểm đầu tiên của tôi, Máy chủ 2A, 2B và 2C không biết chúng được đặt ở đơn vị nào cho đến khi chúng có thể yêu cầu thông tin này từ Máy chủ 1. Vì vậy, chỉ định các IP như bạn đề xuất, không phải là một tùy chọn. Nhưng vấn đề của tôi sẽ được giải quyết nếu công tắc có thể được cấu hình để chỉ chuyển tiếp các gói từ một địa chỉ IP cụ thể đến một cổng cụ thể. Sau đó, tôi có thể định cấu hình máy chủ 1A, 1B và 1C trên ví dụ: 192.168.2.1 và cung cấp cho máy chủ 2A, 2B và 2C bí danh IP là 192.168.2.2.
0
Hồi đáp
Lunde avatar
lá cờ jp
Lunde
Ý tưởng là nếu chuyển cổng 1 chuyển tiếp các gói từ 192.168.2.1 sang cổng 2 và không có cổng nào khác, điều này sẽ không dẫn đến xung đột sao chép IP. Công tắc cũng sẽ được thiết lập để chuyển tiếp các gói từ 192.168.2.2 trên cổng 2 sang cổng 1. Theo cách này, mạng con 192.168.2.X trên mỗi đơn vị sẽ được cách ly. Nhưng điều này yêu cầu bộ chuyển mạch có thể chuyển tiếp lưu lượng dựa trên “bảng định tuyến tĩnh” chỉ định các IP và cổng nào sẽ chuyển tiếp tới. Đây có phải là có thể làm gì? Tất cả cấu hình của KSZ9897 được thực hiện ở cấp đăng ký thông qua giao diện SPI từ bộ xử lý.
0
Hồi đáp
Lunde avatar
lá cờ jp
Lunde
Tôi không nghĩ rằng có hướng dẫn sử dụng cho công tắc, nhưng các thanh ghi có sẵn trong bảng dữ liệu: https://ww1.microchip.com/downloads/en/DeviceDoc/KSZ9897R-Data-Sheet-DS00002330D.pdf
0
Hồi đáp
Zac67 avatar
lá cờ ru
Zac67
Xin lỗi, phát triển phần cứng và phần mềm không thuộc chủ đề ở đây, hãy xem [trợ giúp].
0
Hồi đáp
Lunde avatar
lá cờ jp
Lunde
Ok, xin lỗi về điều đó, tôi không biết về điều đó.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.