我想知道是否有一种标准方法来限制托管以太网交换机上端口之间的流量?我有一个 7 端口以太网交换机(微芯片 - KSZ9897),它是第 2 层交换机,但支持 IEEE 802.1X(ACL)和 802.1Q(VLAN)。我具体需要的是以下内容:
我需要仅允许一个特定 IP 地址从端口 1 到端口 2 的流量。同样,从端口 2 到端口 1 也需要允许一个特定 IP 地址的流量。端口 2 还需要使用别名 IP 地址将流量转发到端口 3-7。
可以使用 ACL 或其他方法完成此操作吗?所有主机都在同一个子网上,因为系统中没有路由器,而且我无法添加路由器。
答案1
交换是第 2 层的功能,您想要创建的 ACL 类型应该作用于第 3 层,即具有 IP 地址和端口号的 IP 层。
所以“A标准限制托管以太网交换机端口之间的流量的方法”不存在。
话虽如此,许多托管型 L2 交换机功能更强大,但没有标准/通用的方法来配置它们。
请注意,您的设备数据表建议您的硬件支持 L3 ACL:https://ww1.microchip.com/downloads/en/DeviceDoc/KSZ9897R-Data-Sheet-DS00002330D.pdf内容如下:
第 4.4.16 节 访问控制列表 (ACL) 过滤
可以为每个端口创建一个访问控制列表 (ACL),以对传入的第 2 层 MAC、第 3 层 IP 或第 4 层 TCP/UDP 数据包执行过滤。多播过滤在静态地址表和保留多播地址表中处理,但 ACL 提供了用于过滤路由网络协议的附加功能。如图 4-3 所示,ACL 过滤可能优先于其他转发功能。ACL 允许交换机根据以下标头字段过滤传入流量:
- 源或目标 MAC 地址和/或以太网类型
- 具有可编程掩码的源或目标 IPv4 地址
- IPv4 协议
- 源或目标 UDP 端口
- 源或目标 TCP 端口
- 具有可编程掩码的 TCP 标志
ACL 以最多 16 条访问控制规则的有序列表的形式实现,这些规则被编入 ACL 表。每个条目指定某些规则(一组匹配条件和操作规则)来控制数据包的转发和优先级。当在接口上接收到数据包时,交换机会将数据包中的字段与任何应用的 ACL 进行比较,以根据列表中指定的条件验证数据包是否具有转发所需的权限。多个匹配条件可以进行 AND 或 OR 运算。
但我不知道你实际上如何使用它。