У меня одна сеть / VLAN, и я хочу заблокировать некоторый трафик и разрешить некоторый трафик в моей сети. Возможно ли это с помощью коммутатора L2 или L3? Если да, то какие коммутаторы поддерживают эту функцию и какие команды можно ее настроить?
Я уже пробовал это, используя списки доступа, применяя его к порту Ethernet, но если я применяю его к одному порту, он будет автоматически работать с входящим трафиком на этом порту, но я имею в виду, что он будет работать только с исходящим трафиком в соответствии с моим ACL.
Есть ли у вас какие-нибудь предложения?
С большинством коммутаторов Cisco вы можете применять списки ACL к портам коммутатора без каких-либо проблем с маршрутизацией. Это работает с коммутаторами L2, такими как Catalyst 2960G.
Списки доступа (на базовом уровне) применяются только к сетям VLAN уровня 3 (подумайте о конфигурации «interface vlan 10», а не «vlan 10») - на коммутаторах. Если вы применяете его к интерфейсу, вам нужно будет преобразовать интерфейс в маршрутизируемый порт с помощью команды «no switchport».
Это возможно только с коммутаторами уровня 3, потому что коммутаторы уровня 2 не видят информацию уровня 3/4, которую вы пытаетесь фильтровать, - номера портов TCP и UDP. Уровень 2 имеет дело с MAC-адресами.
Ответ заключается в создании сетей VLAN уровня 3 на коммутаторе уровня 3 ядра. IP-адрес этих VLAN становится шлюзом по умолчанию для компьютеров, которые вы назначаете этим VLAN. Вам также потребуется назначить порты соответствующим VLAN и настроить магистральные каналы между вашими коммутаторами для передачи информации VLAN уровня 2.
Если у вас есть коммутатор уровня 3, на котором вы можете применять IP-адреса к каждому интерфейсу, вы можете использовать ACL для фильтрации трафика, проходящего между интерфейсами; фактически превращая порт на коммутаторе в порт маршрутизатора, а затем коммутатор маршрутизирует между портами.