Tham gia Đăng nhập
Điểm:0
Lunde avatar Server

Định tuyến các mạng con khác nhau trên một công tắc

lá cờ jp
Lunde

thiết lập của tôi: Tôi có một bộ chuyển mạch Ethernet 7 cổng được quản lý lớp 2 (KSZ9897). Công tắc có tính năng dot1Q (VLAN) và dot1X (ACL). ACL được quảng cáo là có thể lọc trên lớp 3 (IP) và 4 (TCP/UDP). Với các tính năng này, có thể đảm bảo rằng một địa chỉ IP cụ thể chỉ được chuyển tiếp đến một cổng cụ thể trên switch không? Giả sử, nếu một gói có IP nguồn 192.168.1.2 đi vào cổng 5, thì nó chỉ có thể được chuyển tiếp đến cổng 6, v.v.

43
0 + 0
Ron Maupin avatar
lá cờ us
Ron Maupin
Đó là công tắc lớp 2 và công tắc lớp 2 không định tuyến, do đó không có định tuyến trên công tắc. Lớp 2 chuyển đổi các khung cầu, không định tuyến các gói. Bạn cần một bộ định tuyến (bộ chuyển mạch lớp 3 có mô-đun định tuyến) để định tuyến các gói giữa các mạng.
0
Hồi đáp
Tilman Schmidt avatar
lá cờ bd
Tilman Schmidt
Tiêu đề của bạn dường như là một câu hỏi hoàn toàn khác với những gì bạn mô tả trong văn bản. Tôi đoán bạn vừa hiểu sai thuật ngữ. Cả định tuyến và mạng con dường như không liên quan đến vấn đề bạn mô tả.
0
Hồi đáp
Lunde avatar
lá cờ jp
Lunde
Tôi biết rằng lớp 2 chỉ là địa chỉ MAC, nhưng trong bảng dữ liệu của công tắc phần 4.4.16, trong phần lọc ACL, có ghi rằng công tắc có thể: âthực hiện lọc trên MAC lớp 2 đến, IP lớp 3 hoặc các gói TCP/UDP lớp 4.â Có thể thuật ngữ của tôi không rõ ràng, nhưng điều tôi cần là đảm bảo rằng lưu lượng truy cập vào cổng 5 với IP nguồn 192.168.1.1 chỉ được phép chuyển tiếp tới cổng 4 và lưu lượng truy cập vào trên cổng 5 với IP nguồn 192.168.2.1 chỉ được phép chuyển tiếp sang cổng 3. Hai IP này nằm trên các mạng con khác nhau, đó là nguồn gốc của tiêu đề. Xin lỗi vì sự nhầm lẫn
0
Hồi đáp
Lunde avatar
lá cờ jp
Lunde
Cụ thể, điều tôi thắc mắc là áp dụng ACL trên cổng vào (có thể là cổng 5 từ nhận xét trước của tôi), khớp với địa chỉ IP (như được chỉ định trong bảng 4-18 trong bảng dữ liệu) và áp dụng hành động để chỉ chuyển tiếp tới một cổng cụ thể (như được chỉ định trong bảng 4-20 trong bảng dữ liệu). Nhưng tôi chưa bao giờ thử điều này trước đây, vì vậy tôi không chắc rằng nó sẽ hoạt động trong thực tế.
0
Hồi đáp
Điểm:0
Zac67 avatar Server
lá cờ ru
Zac67

ACL lọc theo địa chỉ IP, giao thức tầng vận chuyển và số cổng L4. Họ không sử dụng số cổng chuyển đổi.

Những gì bạn đang yêu cầu chỉ cần được thực hiện trên địa chỉ IP nguồn và đích/cổng L4 proto+.

Các phương pháp khác để hạn chế lưu lượng giữa các nút đầu cuối bao gồm Vlan (nơi bạn hạn chế lưu lượng trên bộ định tuyến trung gian), Vlan riêng (nơi các cổng truy cập chỉ có thể nói chuyện với các cổng đường lên) hoặc lọc cổng nguồn (tương tự như Vlan riêng), tùy thuộc vào loại công tắc và bộ tính năng.

0 + 0
Lunde avatar
lá cờ jp
Lunde
Cảm ơn bạn đã giải thích rõ ràng. Bạn có thể đề xuất một phương pháp, nếu có, để hạn chế lưu lượng sử dụng Vlan không? Tôi đoán sẽ dễ dàng nếu tôi có thể chỉ định ví dụ: cổng 5 và 6 nằm trong VLAN 10 và các cổng còn lại nằm trong VLAN 20. Điều đó sẽ đảm bảo rằng cổng 6 không thể giao tiếp với ví dụ: cổng 3. Nhưng tôi cần cổng 5 để có thể giao tiếp với tất cả các cổng, nhưng để hạn chế lưu lượng dựa trên IP nguồn. Có lẽ nó có thể hoạt động nếu cổng 5 là cổng trung kế và Máy chủ lưu trữ trên cổng đó có thể thực hiện gắn thẻ Vlan, dựa trên IP nguồn?
0
Hồi đáp
Zac67 avatar
lá cờ ru
Zac67
Với Vlan, bạn phân tách các máy chủ theo vùng bảo mật, mỗi máy tương tự như một mạng con Vlan và IP.Giao tiếp qua các Vlan yêu cầu bộ định tuyến/cổng nơi bạn có thể kiểm soát/lọc lưu lượng. Có lẽ bạn nên thêm một sơ đồ dễ hiểu vào câu hỏi của mình, bao gồm các luồng lưu lượng dự định, điều đó sẽ cho phép chúng tôi hiểu vấn đề của bạn. Hiện tại, tôi nghĩ bạn tốt hơn với ACL.
0
Hồi đáp
Lunde avatar
lá cờ jp
Lunde
Ok, đây là thiết lập của tôi. Tôi có các IP sau được kết nối với công tắc. Cổng 1 - 4: 192.168.1.X và 192.168.2.X, Cổng 5 + 6: 192.168.1.1, 192.168.2.1 và 192.168.3.1, Cổng 7: 192.168.3.10. Lưu lượng truy cập từ cổng 7 chỉ được phép đến cổng 5 + 6. Từ cổng 5+6 192.168.1.1 và 192.168.2.1 chỉ được phép đến cổng 1-4 và 192.168.3.1 chỉ được phép trên cổng 7. Tôi cần những hạn chế này để tránh trùng IP từ các thiết bị kết nối trên cổng 1-4 (các IP này là cố định nên tôi không thể thay đổi chúng).
0
Hồi đáp
Lunde avatar
lá cờ jp
Lunde
Chẳng hạn, 192.168.3.10 cũng sẽ xuất hiện ở hạ lưu trên cổng 1-4, đó là lý do tại sao tôi cần công tắc để chặn lưu lượng truy cập đến IP này trên các cổng đó.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.