การจำกัดโฮสต์บนเครือข่าย

ฉันต้องการคำแนะนำด้านเครือข่ายและหวังว่าบางท่านจะสามารถช่วยฉันได้ เครือข่ายของฉันแสดงในแผนภาพบล็อกนี้: สวิตช์อีเธอร์เน็ตมาจาก Microchip รุ่น KSZ9897 ซึ่งเป็นสวิตช์เลเยอร์ 2 ที่มีการจัดการ สวิตช์มีคุณสมบัติหลายอย่าง เช่น รองรับ IEEE 802.1X (การรับรองความถูกต้องตามพอร์ตและการกรองรายการควบคุมการเข้าถึง (ACL)) และ IEEE 802.1Q (VLAN) โฮสต์ทั้งหมดเป็นพีซีที่ใช้ Windows 10 ฉันต้องการสิ่งต่อไปนี้:

• โฮสต์ 1A, 1B และ 1C ต้องมีที่อยู่ IP คงที่เหมือนกัน (เนื่องจากกระบวนการเริ่มต้น โดยที่โฮสต์ 2A, 2B และ 2C ยังไม่ทราบว่าอยู่ใน Unit A, Unit B หรือ Unit C ข้อมูลนี้ได้รับการสื่อสาร จากโฮสต์ 1 ซึ่งเป็นสาเหตุที่ฉันต้องการให้โฮสต์ 1A, 1B และ 1C มีที่อยู่ IP เดียวกัน เพื่อให้โฮสต์ 2 ทราบว่าจะส่งคำขอระบุตัวตนได้ที่ไหน)
• โฮสต์ 1A สามารถสื่อสารกับโฮสต์ 2A และไม่มีโฮสต์อื่น
• โฮสต์ 2A สามารถสื่อสารกับโฮสต์ทั้งหมด ยกเว้นโฮสต์ 1B และโฮสต์ 1C
• โฮสต์ 1B สามารถสื่อสารกับโฮสต์ 2B และโฮสต์อื่นไม่ได้
• โฮสต์ 2B สามารถสื่อสารกับโฮสต์ทั้งหมด ยกเว้นโฮสต์ 1A และโฮสต์ 1C
• โฮสต์ 1C สามารถสื่อสารกับโฮสต์ 2C และไม่มีโฮสต์อื่น
• โฮสต์ 2C สามารถสื่อสารกับโฮสต์ทั้งหมด ยกเว้นโฮสต์ 1A และโฮสต์ 1B

ตอนนี้โฮสต์ทั้งหมดอยู่บนซับเน็ตเดียวกัน สมมติว่า 192.168.1.X ซับเน็ตมาสก์ 255.255.255.0 ความคิดแรกของฉันคือการให้ที่อยู่ IP แก่โฮสต์ 1A, 1B และ 1C บนเครือข่ายย่อยอื่น เช่น 192.168.2.1 และให้ที่อยู่ IP นามแฝงแก่โฮสต์ 2A, 2B และ 2C บนเครือข่ายย่อยเดียวกันนั้น ด้วยวิธีนี้โฮสต์ 2 จะสามารถสื่อสารบนเครือข่ายย่อยทั้งสองได้ อย่างไรก็ตาม สิ่งนี้จะไม่ทำงาน เช่น โฮสต์ 2A จะสามารถสื่อสารกับทั้ง 1B และ 1C สิ่งนี้จะทำให้ที่อยู่ IP ซ้ำกันบนซับเน็ตเดียวกัน แต่การวางโฮสต์ 1A, โฮสต์ 1B และโฮสต์ 1C บนซับเน็ตที่แตกต่างกันสามเครือข่ายก็เป็นปัญหาเช่นกัน เนื่องจากปัญหาการระบุตัวตนที่ระบุไว้ในจุดแรกของรายการสำหรับฉันแล้ว ดูเหมือนปัญหาไก่กับไข่ แต่หวังว่าฉันจะขาดบางสิ่งที่สามารถแก้ไขปัญหาได้ อาจจะเป็น VLAN การควบคุมการเข้าถึง หรืออย่างอื่น

ขึ้นอยู่กับว่าสวิตช์นั้นรองรับ ACL จริง ๆ (ไม่พบคู่มือใด ๆ ) ACL ที่เชื่อมต่อกับพอร์ตควรทำเคล็ดลับ - ไม่ต้องใช้ VLAN หรือการกำหนดเส้นทาง ฉันถือว่าโฮสต์ได้รับการกำหนดค่าแบบคงที่โดยไม่มี DHCP ไวยากรณ์อาจแตกต่างกันไป แต่ฉันหวังว่าคุณจะเข้าใจ เพียงใช้ ACL กับทุกพอร์ตบนสวิตช์ทั้งหมด หรืออีกทางหนึ่ง การใช้ ACL กับ VLAN เริ่มต้นอาจใช้ได้เช่นกัน

• โฮสต์ 1A-5A ใช้ที่อยู่ IP 192.168.1.1/24 - 192.168.1.5/24
• โฮสต์ 1B-5B ใช้ที่อยู่ IP 192.168.1.11/24 - 192.168.1.15/24
• โฮสต์ 1C-5C ใช้ที่อยู่ IP 192.168.1.21/24 - 192.168.1.25/24
• โฮสต์ 1D-5D ใช้ที่อยู่ IP 192.168.1.31/24 - 192.168.1.35/24

ACL:

1,000 อนุญาต ip 192.168.1.1/32 192.168.1.2/32
1010 ปฏิเสธ ip 192.168.1.2/32 192.168.1.11/32
1020 ปฏิเสธไอพี 192.168.1.2/32 192.168.1.21/32
1030 อนุญาต ip 192.168.1.2/32 ใด ๆ
1040 อนุญาต ip 192.168.1.11/32 192.168.1.12/32
1050 ปฏิเสธ ip 192.168.1.12/32 192.168.1.1/32
1060 ปฏิเสธไอพี 192.168.1.12/32 192.168.1.21/32
1070 อนุญาต ip 192.168.1.12/32 ใด ๆ
1080 อนุญาต ip 192.168.1.21/32 192.168.1.22/32
1090 ปฏิเสธ 192.168.1.22/32 192.168.1.1/32
1100 ปฏิเสธ 192.168.1.22/32 192.168.1.11/32
1110 อนุญาต 192.168.1.22/32 ใด ๆ

โปรดทราบว่ามีนัย ปฏิเสธใดๆ กฎที่ส่วนท้ายของ ACL ดังนั้น หากคุณไม่อนุญาตอย่างชัดแจ้ง บางสิ่งจะถูกปฏิเสธ คุณต้องอนุญาต ทั้งสอง ทิศทางของการสื่อสาร - ACL นั้นไร้สัญชาติ กฎได้รับการประเมินใน พอดีครั้งแรก พื้นฐานจากบนลงล่าง ดังนั้น หากก่อนหน้านี้ ปฏิเสธ การแข่งขันที่ตามมา อนุญาต ไม่ได้ใช้

หากสวิตช์ไม่ยอมรับ /32 (ไม่มีบิตสัญลักษณ์แทน) คุณต้องใช้ 0.0.0.0 แทน. บิตตัวแทนไม่มีความสัมพันธ์โดยตรงกับซับเน็ตมาสก์ แต่จะกำหนดบิตที่ถูกละเว้นขณะจับคู่แทน 192.168.1.2/31 หรือ 192.168.1.2 0.0.0.1 ตรงกับ 192.168.1.2 และ 192.168.1.3 192. 192.168.1.3 0.0.0.2 ตรงกับ 192.168.1.1 และ 192.168.1.3