Score:0

Server

การกำหนดเส้นทางเครือข่ายย่อยต่างๆ บนสวิตช์

Lunde

4/7/23 17:37

การตั้งค่าของฉัน: ฉันมีสวิตช์อีเทอร์เน็ต 7 พอร์ตที่มีการจัดการเลเยอร์ 2 (KSZ9897) คุณสมบัติสวิตช์ dot1Q (VLAN) และ dot1X (ACL) มีการโฆษณา ACL เพื่อให้สามารถกรองเลเยอร์ 3 (IP) และ 4 (TCP/UDP) ด้วยคุณสมบัติเหล่านี้ เป็นไปได้หรือไม่ที่จะรับประกันว่าที่อยู่ IP เฉพาะจะถูกส่งต่อไปยังพอร์ตเฉพาะบนสวิตช์เท่านั้น เช่น ถ้าแพ็กเก็ตที่มี IP ต้นทาง 192.168.1.2 เข้าสู่พอร์ต 5 จะสามารถส่งต่อไปยังพอร์ต 6 เท่านั้น เป็นต้น

0 + 0

สวิตซ์

รายการควบคุมการเข้าถึง

libc6

Ron Maupin

4/7/23 21:11

นั่นคือสวิตช์เลเยอร์ 2 และสวิตช์เลเยอร์ 2 ไม่ได้กำหนดเส้นทาง ดังนั้นจึงไม่มีการกำหนดเส้นทางบนสวิตช์ Layer-2 สลับเฟรมบริดจ์ ไม่ใช่แพ็กเก็ตเส้นทาง คุณต้องมีเราเตอร์ (สวิตช์เลเยอร์ 3 มีโมดูลการกำหนดเส้นทาง) เพื่อกำหนดเส้นทางแพ็กเก็ตระหว่างเครือข่าย

ตอบกลับ

Tilman Schmidt

5/7/23 00:06

บรรทัดแรกของคุณดูเหมือนจะเป็นคำถามที่แตกต่างจากที่คุณอธิบายในข้อความอย่างสิ้นเชิง ฉันเดาว่าคุณใช้คำศัพท์ผิด ดูเหมือนว่าทั้งการกำหนดเส้นทางและเครือข่ายย่อยจะไม่เกี่ยวข้องกับปัญหาที่คุณอธิบาย

ตอบกลับ

Lunde

5/7/23 12:20

ฉันทราบดีว่าเลเยอร์ 2 เป็นเพียงที่อยู่ MAC แต่ในแผ่นข้อมูลของสวิตช์ส่วน 4.4.16 ภายใต้การกรอง ACL ระบุว่าสวิตช์สามารถ: ทำการกรองบน MAC เลเยอร์ 2 ขาเข้า, IP เลเยอร์ 3 หรือ แพ็กเก็ต TCP/UDP เลเยอร์ 4â บางทีคำศัพท์ของฉันอาจไม่ชัดเจน แต่สิ่งที่ฉันต้องการคือเพื่อให้แน่ใจว่าการรับส่งข้อมูลขาเข้าบนพอร์ต 5 ที่มี IP ต้นทาง 192.168.1.1 ได้รับอนุญาตให้ส่งต่อไปยังพอร์ต 4 และการรับส่งข้อมูลขาเข้าเท่านั้น บนพอร์ต 5 ที่มี IP ต้นทาง 192.168.2.1 ได้รับอนุญาตให้ส่งต่อไปยังพอร์ต 3 เท่านั้น IP ทั้งสองนี้อยู่บนเครือข่ายย่อยที่แตกต่างกัน ซึ่งเป็นที่มาของชื่อเรื่อง ขอโทษสำหรับความสับสน

ตอบกลับ

Lunde

5/7/23 12:35

สิ่งที่ฉันสงสัยโดยเฉพาะคือการใช้ ACL บนพอร์ตขาเข้า (จะเป็นพอร์ต 5 จากความคิดเห็นก่อนหน้าของฉัน) จับคู่กับที่อยู่ IP (ตามที่ระบุในตารางที่ 4-18 ในแผ่นข้อมูล) และใช้การดำเนินการเพื่อส่งต่อเท่านั้น พอร์ตเฉพาะ (ตามที่ระบุในตารางที่ 4-20 ในแผ่นข้อมูล) แต่ฉันไม่เคยลองสิ่งนี้มาก่อน ดังนั้นฉันจึงไม่แน่ใจว่ามันจะใช้งานได้จริงหรือไม่

ตอบกลับ

Score:0

Server

Zac67

4/7/23 21:06

ACLs กรองตามที่อยู่ IP โปรโตคอลเลเยอร์การขนส่ง และหมายเลขพอร์ต L4 พวกเขาไม่ได้ใช้หมายเลขพอร์ตสวิตช์

สิ่งที่คุณขอต้องทำบนที่อยู่ IP ต้นทางและปลายทาง/L4 proto+port เพียงอย่างเดียว

วิธีอื่นๆ ในการจำกัดทราฟฟิกระหว่างโหนดปลายทาง ได้แก่ VLAN (ที่คุณจำกัดทราฟฟิกบนเราเตอร์ระดับกลาง), VLAN ส่วนตัว (ซึ่งพอร์ตการเข้าถึงสามารถพูดคุยกับพอร์ตอัปลิงค์เท่านั้น) หรือการกรองพอร์ตต้นทาง (คล้ายกับ VLAN ส่วนตัว) ขึ้นอยู่กับประเภทของสวิตช์ และชุดคุณสมบัติ

0 + 0

Lunde

5/7/23 12:40

ขอขอบคุณสำหรับการล้างข้อมูลนั้น คุณสามารถแนะนำวิธีการ (ถ้ามี) เพื่อจำกัดทราฟฟิกโดยใช้ VLAN ได้หรือไม่? ฉันเดาว่ามันคงจะง่ายถ้าฉันสามารถระบุได้เช่น พอร์ต 5 และ 6 ให้อยู่ใน VLAN 10 และพอร์ตที่เหลือให้อยู่ใน VLAN 20 ซึ่งจะทำให้มั่นใจได้ว่าพอร์ต 6 ไม่สามารถสื่อสารกับเช่น พอร์ต 3 แต่ฉันต้องการพอร์ต 5 เพื่อให้สามารถสื่อสารกับพอร์ตทั้งหมด แต่เพื่อจำกัดการรับส่งข้อมูลตาม IP ต้นทาง บางทีมันอาจจะใช้งานได้ถ้าพอร์ต 5 เป็นพอร์ตหลักและโฮสต์บนพอร์ตนั้นสามารถทำการแท็ก VLAN ตาม IP ต้นทางได้หรือไม่

ตอบกลับ

Zac67

5/7/23 14:07

ด้วย VLAN คุณจะแยกโฮสต์ตามโซนความปลอดภัย ซึ่งแต่ละโฮสต์จะคล้ายกับ VLAN และซับเน็ต IPการสื่อสารข้าม VLAN ต้องใช้เราเตอร์/เกตเวย์ซึ่งคุณสามารถควบคุม/กรองทราฟฟิกได้ บางทีคุณควรเพิ่มไดอะแกรมที่เข้าใจได้ให้กับคำถามของคุณ รวมถึงกระแสการรับส่งข้อมูลที่ต้องการ ซึ่งจะช่วยให้เราสามารถเข้าใจปัญหาของคุณได้ ปัจจุบัน ฉันคิดว่าคุณดีกว่ากับ ACL

ตอบกลับ

Lunde

5/7/23 21:44

ตกลง นี่คือการตั้งค่าของฉัน ฉันมี IP ต่อไปนี้เชื่อมต่อสวิตช์ พอร์ต 1 - 4: 192.168.1.X และ 192.168.2.X, พอร์ต 5 + 6: 192.168.1.1, 192.168.2.1 และ 192.168.3.1, พอร์ต 7: 192.168.3.10 การรับส่งข้อมูลจากพอร์ต 7 ควรได้รับอนุญาตไปยังพอร์ต 5 + 6 เท่านั้น จากพอร์ต 5+6 192.168.1.1 และ 192.168.2.1 ควรได้รับอนุญาตไปยังพอร์ต 1-4 และ 192.168.3.1 ควรได้รับอนุญาตบนพอร์ต 7 เท่านั้น ฉันต้องการข้อจำกัดเหล่านี้ เพื่อหลีกเลี่ยง IP ที่ซ้ำกันจากอุปกรณ์ที่เชื่อมต่อบนพอร์ต 1-4 (IP เหล่านี้ได้รับการแก้ไขแล้ว ดังนั้นฉันจึงไม่สามารถเปลี่ยนแปลงได้)

ตอบกลับ

Lunde

6/7/23 07:15

ตัวอย่างเช่น 192.168.3.10 จะแสดงดาวน์สตรีมที่พอร์ต 1-4 ด้วย ซึ่งเป็นสาเหตุที่ฉันต้องการสวิตช์เพื่อบล็อกการรับส่งข้อมูลไปยัง IP นี้บนพอร์ตเหล่านั้น

ตอบกลับ

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: Routing different subnets on a switch

TH: การกำหนดเส้นทางเครือข่ายย่อยต่างๆ บนสวิตช์

RO: Rutarea diferitelor subrețele pe un comutator

RU: Маршрутизация разных подсетей на коммутаторе

VI: Định tuyến các mạng con khác nhau trên một công tắc

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา