Мы размещаем выделенные серверы и в настоящее время используем старые коммутаторы 3com с ACL на основе IP. Таким образом, каждый порт имеет ACL, который разрешает все IP-адреса, назначенные этому клиенту, и блокирует все остальное.
Но теперь 3com была куплена HP, и последующая модель поддерживает только базовый ACL, который недостаточно гибок, чтобы разрешать одни IP-адреса и блокировать другие. Посмотрев на другие переключатели в аналогичном ценовом диапазоне, мы обнаружили, что большинство из них имеют аналогичные проблемы или вообще не предлагают никаких функций ACL.
Я предполагаю, что это также можно было бы каким-то образом сделать с VLAN, но если я правильно это понимаю, нам все равно понадобится какой-то ACL, чтобы фактически указать действительные IP-адреса для каждого порта.
Что вы используете, чтобы убедиться, что ваши клиенты не используют неназначенные IP-адреса? Или какие переключатели с гибкой функциональностью ACL вы можете порекомендовать?
Здесь работает в основном магазин Cisco, и даже самые базовые из серии 29XX поддерживают списки ACL. Это так же просто, как добавить список доступа вверху, например:
ip access-list standard Fa01 permit 192.0.2.1 permit 192.0.2.2
А потом в конфиге для интерфейса Fa0 / 1
interface FastEthernet0/1 ip access-group fa01 in
Несомненно, существует множество других коммутаторов других производителей, которые могут это сделать, но я могу порекомендовать Cisco для этой работы.