可以切换HP 2910al,根据 IP/子网设置限制进入它的流量,而不使用路由功能?或者是否可以配置类似HP 2530(第 2 层)来桥接流量?
(我知道理论上不是,但设置似乎太复杂了,感觉总是有警告......所以才有这个问题)
我们目前已将交换机配置为 2 个 VLAN(VLAN1,VLAN10VLAN 的唯一用途是限制网络流量流向一个 VLAN(例如VLAN10) 以保持该网络的高吞吐量。它与连接到较大网络的另一台交换机 (例如VLAN10,VLAN1和VLAN20)。
有没有办法限制VLAN20进入的交通VLAN10和VLAN1(按照当前配置)如果我要删除该交换机上的 VLAN 设置,是否纯粹基于 IP?
流量来自的交换机是HP 2530,它的功能本来就比较少。但是有没有办法配置它来桥接流量呢?
(切换两个开关可以工作,但物理上不可行:/)
答案1
2910al 交换机支持 ACL,因此您可以根据源/目标 IP、协议、协议端口过滤任何 L3 流量。无论此流量是在 2910 上路由、在外部路由器上路由还是仅在交换上路由,都无关紧要。
您可以通过配置来阻止 10.0.10.0/24(VLAN 10)和 10.0.20.0/24(VLAN 20)之间的任何通信
ip access-list extended "deny1020"
10 deny ip 10.0.10.0/24 10.0.20.0/24
20 deny ip 10.0.20.0/24 10.0.10.0/24
9999 permit ip any any
并将此 ACL 应用于入口(中继)端口。2910al 上的 ACL 仅适用于端口,不适用于 VLAN。ACL 具有隐式最后条目deny ip any any,因此第 9999 行负责允许所有其他流量。
2530 交换机还支持 VLAN 级别的 ACL,因此它们可能更容易在那里应用。通常,您会希望尽快过滤不需要的流量。