我需要一些网络建议,希望你们中的一些人能够帮助我。我的网络如下图所示: 以太网交换机来自 Microchip,型号为 KSZ9897,是一款管理型第 2 层交换机。该交换机具有多种功能,例如,它支持 IEEE 802.1X(基于端口的身份验证和访问控制列表 (ACL) 过滤)和 IEEE 802.1Q(VLAN)。所有主机都是 Windows 10 PC。我需要以下内容:
- 主机 1A、1B 和 1C 必须具有相同的固定 IP 地址(这是由于初始化过程,其中主机 2A、2B 和 2C 尚不知道它们位于单元 A、单元 B 还是单元 C。此信息由主机 1 传达,这就是为什么我需要主机 1A、1B 和 1C 具有相同的 IP 地址,以便主机 2 知道将识别请求发送到何处)
- 主机 1A 可以与主机 2A 通信,但不能与任何其他主机通信
- 主机 2A 可以与除主机 1B 和主机 1C 之外的所有主机通信
- 主机 1B 可以与主机 2B 通信,但不能与任何其他主机通信
- 主机 2B 可以与除主机 1A 和主机 1C 之外的所有主机通信
- 主机 1C 可以与主机 2C 通信,但不能与任何其他主机通信
- 主机 2C 可以与除主机 1A 和主机 1B 之外的所有主机通信
现在所有主机都在同一个子网上,比如说 192.168.1.X,子网掩码为 255.255.255.0。我的第一个想法是给主机 1A、1B 和 1C 一个在另一个子网上的 IP 地址,比如说 192.168.2.1,给主机 2A、2B 和 2C 一个在同一子网上的别名 IP 地址。这样,主机 2 将能够在两个子网上通信。但是,这行不通,因为例如主机 2A 将能够与 1B 和 1C 通信。这将导致同一子网上的 IP 地址重复。但是,将主机 1A、主机 1B 和主机 1C 放在三个不同的子网上也是一个问题,因为列表中第一点概述了识别问题。在我看来,这就像是一个先有鸡还是先有蛋的问题,但希望我遗漏了可以解决这个问题的东西,也许是 VLAN、访问控制或其他东西。
答案1
根据交换机实际支持的 ACL(找不到任何手册),端口绑定 ACL 应该可以解决问题 - 无需 VLAN 或路由。我假设主机是静态配置的,没有 DHCP。语法可能有所不同,但我希望您明白我的意思。只需将 ACL 应用于所有交换机上的所有端口。或者,将 ACL 应用于默认 VLAN 也可能有效。
- 主机 1A-5A 使用 IP 地址 192.168.1.1/24 - 192.168.1.5/24
- 主机 1B-5B 使用 IP 地址 192.168.1.11/24 - 192.168.1.15/24
- 主机 1C-5C 使用 IP 地址 192.168.1.21/24 - 192.168.1.25/24
- 主机 1D-5D 使用 IP 地址 192.168.1.31/24 - 192.168.1.35/24
访问控制列表(ACL):
1000 permit ip 192.168.1.1/32 192.168.1.2/32
1010 deny ip 192.168.1.2/32 192.168.1.11/32
1020 deny ip 192.168.1.2/32 192.168.1.21/32
1030 permit ip 192.168.1.2/32 any
1040 permit ip 192.168.1.11/32 192.168.1.12/32
1050 deny ip 192.168.1.12/32 192.168.1.1/32
1060 deny ip 192.168.1.12/32 192.168.1.21/32
1070 permit ip 192.168.1.12/32 any
1080 permit ip 192.168.1.21/32 192.168.1.22/32
1090 deny 192.168.1.22/32 192.168.1.1/32
1100 deny 192.168.1.22/32 192.168.1.11/32
1110 permit 192.168.1.22/32 any
deny any any
请注意, ACL 末尾有一个隐含规则,因此如果您没有明确允许某项操作,则会被拒绝。您需要允许两个都通信方向 - ACL 是无状态的。规则评估基于首次适配从上到下的基础,因此,如果前一个匹配,则不使用deny
后续的。permit
如果交换机不接受/32
(无通配符位),则需要改用0.0.0.0
。通配符位与子网掩码没有直接关系。相反,它们定义匹配时忽略的位。192.168.1.2/31
or192.168.1.2 0.0.0.1
匹配 192.168.1.2 和 192.168.1.3。 192.192.168.1.3 0.0.0.2
匹配 192.168.1.1 和 192.168.1.3。