Фильтрация трафика между портами на коммутаторе Ethernet

Question

Фильтрация трафика между портами на коммутаторе Ethernet

Я хотел бы знать, существует ли стандартный способ ограничения трафика между портами управляемого коммутатора Ethernet? У меня есть 7-портовый коммутатор Ethernet (микросхема — KSZ9897), который представляет собой коммутатор уровня 2, но с поддержкой IEEE 802.1X (ACL) и 802.1Q (VLAN). Что мне конкретно нужно, так это следующее:

Мне нужно разрешить трафик с порта 1 на 2 только для одного конкретного IP-адреса. То же самое от порта 2 до порта 1, один конкретный IP-адрес. Порт 2 также должен будет перенаправлять трафик на порты 3–7, используя псевдоним IP-адреса.

Можно ли это сделать с помощью ACL или другого метода? Все хосты находятся в одной подсети, так как в системе нет маршрутизаторов и я не могу добавить маршрутизатор.

1

switch access-control-list ethernet

Источник

Lunde 22 фев '22 в 13:37

1 ответ

Другие вопросы по тегам switch access-control-list ethernet

HermanB 22 фев '22 в 14:06 2022-02-22 14:06 · Answer 1 · 2022-02-22 14:06

Коммутация — это функциональность уровня 2, и тип ACL, который вы хотите создать, должен действовать на уровне 3, уровне IP с IP-адресами и номерами портов.

Поэтому « стандартного способа ограничения трафика между портами управляемого коммутатора Ethernet» не существует.

При этом многие управляемые коммутаторы L2 обладают более широкими возможностями, но не существует стандартного/универсального способа их настройки.

Обратите внимание, что в таблице данных вашего устройства указано, что ACL L3 поддерживаются вашим оборудованием: https://ww1.microchip.com/downloads/en/DeviceDoc/KSZ9897R-Data-Sheet-DS00002330D.pdf говорит следующее:

раздел §4.4.16 ФИЛЬТРАЦИЯ СПИСКА КОНТРОЛЯ ДОСТУПА (ACL)

Список контроля доступа (ACL) может быть создан для каждого порта для фильтрации входящих пакетов MAC уровня 2, IP уровня 3 или TCP/UDP уровня 4. Фильтрация многоадресной рассылки обрабатывается в таблице статических адресов и таблице зарезервированных адресов многоадресной рассылки, но список ACL предоставляет дополнительные возможности для фильтрации маршрутизируемых сетевых протоколов. Как показано на рисунке 4-3, фильтрация ACL может иметь приоритет над другими функциями пересылки. ACL позволяет коммутатору фильтровать входящий трафик на основе следующих полей заголовка:

MAC-адрес источника или назначения и/или EtherType

IPv4-адрес источника или назначения с программируемой маской

протокол IPv4

UDP-порт источника или назначения

TCP-порт источника или назначения

TCP-флаг с программируемой маской

ACL реализован как упорядоченный список, содержащий до 16 правил контроля доступа, которые запрограммированы в таблице ACL. Каждая запись определяет определенные правила (набор условий соответствия и правил действий) для управления пересылкой и приоритетом пакетов. Когда пакет получен на интерфейсе, коммутатор сравнивает поля в пакете со всеми примененными списками ACL, чтобы убедиться, что пакет имеет разрешения, необходимые для пересылки, на основе условий, указанных в списках. Множественные условия соответствия могут быть объединены оператором «И» или «ИЛИ».

Хотя понятия не имею, как вы можете это использовать.