隔离同一子网上的客户端?

隔离同一子网上的客户端?

给定 /24 子网中的 n 个(例如 200 个)客户端和以下网络结构:

client 1 \
.         \
.          switch -- firewall
.         / 
client n /

(换句话说:所有客户端都连接到一个交换机,并且该交换机连接到防火墙)

现在默认情况下,例如客户端 1 和客户端 n 可以使用交换机直接通信,而没有任何数据包到达防火墙。因此,这些数据包都无法被过滤。但是我想过滤客户端之间的数据包,因此我想禁止客户端之间的任何直接通信。

我知道使用 VLAN 可以实现这一点,但根据我的理解,我必须将所有客户端放在自己的网络中。但是我甚至没有那么多 IP 地址:我有大约 200 个客户端,只有一个 /24 子网,并且所有客户端都应具有公共 IP 地址,因此我不能为每个客户端创建一个专用网络(好吧,也许可以使用一些 NAT,但我想避免这种情况)。

那么,有什么方法可以告诉交换机:将所有数据包转发到防火墙,不允许客户端之间直接通信?谢谢您的提示!

答案1

如果您的交换机支持 PVLAN(私有 VLAN),您可以在 VLANM 中分离客户端,PVLAN 可配置为允许任何主机与防火墙通信,但无法与任何其他设备通信。您还可以配置 PVLAN,以允许有限的服务器组之间进行通信。

你使用哪种开关?

答案2

您可能需要不同的交换机来实现 PVLAN。以下是支持 PVLAN 的 Cisco 交换机产品列表的链接:

http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a0080094830.shtml

以下是 www.amazon.com 上 Cisco Catalyst 2948G 的链接:

http://www.amazon.com/Cisco-WS-C2948G-L3-Catalyst-Gigabit-Switch/dp/B0000515TX/ref=sr_1_3?ie=UTF8&qid=1338735756&sr=8-3

答案3

当客户端连接到同一个交换机时,它们将通过防火墙相互通信。您不能告诉交换机将流量转发到防火墙进行过滤。交换机对网络中的客户端和防火墙是透明的。

您需要将客户端分布在不同的子网中,以便在第 3 层(IP)进行一些过滤。因此,在这种情况下使用 VLAN 是最好的选择。如果您需要使用公共 IP,但您没有太多 IP,您可以分配私有 IP 并在防火墙上进行 NAT。

答案4

否则我会解决。我先安装一个 PPPoE 服务器,所有客户端都是隔离的,因为它们在隧道中,必须连接到服务器

相关内容