阻止第 3 层交换机上的 IP 欺骗的最佳方法是什么?

阻止第 3 层交换机上的 IP 欺骗的最佳方法是什么?

我们托管专用服务器,目前使用带有基于 IP 的 ACL 的旧 3com 交换机。因此,每个端口都有一个 ACL,允许分配给此客户的所有 IP 地址,并阻止其他所有 IP 地址。

但现在 3com 被 HP 收购了,后续型号仅支持基本 ACL,不够灵活,无法同时允许某些 IP 并阻止其他 IP。查看了类似价格范围内的其他交换机,我们发现它们中的大多数都存在类似问题或根本不提供任何 ACL 功能。

我认为这也可以通过 VLAN 来实现,但如果我理解正确的话,我们仍然需要某种 ACL 来实际指定每个端口的有效 IP 地址。

您使用什么来确保您的客户不使用未分配的 IP 地址?或者您可以推荐哪些具有灵活 ACL 功能的交换机?

答案1

我在这里主要经营思科产品,即使是最基本的 29XX 系列也支持 ACL。这就像在顶部添加访问列表一样简单,例如:

ip 访问列表标准 Fa01
 允许 192.0.2.1
 允许 192.0.2.2

然后在 Fa0/1 接口的配置中

接口快速以太网0/1
 ip 访问组 fa01

毫无疑问,还有许多其他制造商生产的交换机可以做到这一点,但我推荐思科来完成这项工作。

相关内容