Может ли переключатель HP 2910al, ограничить входящий трафик на основе настроек IP / подсети без использования функции маршрутизации? Или можно настроить что-то вроде HP 2530 (уровень 2) для перекрытия трафика?
(Теоретически знаю, что нет, но настройки кажутся слишком сложными, кажется, что всегда есть оговорки .. отсюда вопрос)
У нас есть коммутатор, в настоящее время настроенный на 2 VLAN (VLAN1, VLAN10). Единственная причина для VLAN - ограничить сетевой трафик, идущий в одну VLAN (скажем, VLAN10) для поддержания высокого уровня в этой сети. Он соединен с другим коммутатором, который подключается к более крупной сети (скажем, VLAN10, VLAN1 и VLAN20).
Есть ли способ ограничить VLAN20 трафик, идущий в VLAN10 и VLAN1 (как в настоящее время настроено) исключительно на основе IP, если бы я удалил настройки VLAN на этом коммутаторе?
Коммутатор, с которого идет трафик: HP 2530, который у меня в любом случае имеет меньшую функциональность. Но есть ли способ настроить это для передачи трафика?
(Переключение двух переключателей будет работать, но физически невозможно: /)
Коммутаторы 2910al поддерживают списки ACL, поэтому вы можете фильтровать любой трафик L3 на основе IP-адресов источника / назначения, протоколов, портов протокола. Не имеет значения, маршрутизируется ли этот трафик на 2910, на внешний маршрутизатор или только через коммутацию.
Вы можете предотвратить любое общение, например, между 10.0.10.0/24 (VLAN 10) и 10.0.20.0/24 (VLAN 20) путем настройки
ip access-list extended "deny1020"
10 deny ip 10.0.10.0/24 10.0.20.0/24
20 deny ip 10.0.20.0/24 10.0.10.0/24
9999 permit ip any any
и примените этот ACL к входным (магистральным) портам. Списки ACL на 2910al работают только с портами, но не с VLAN. В ACL есть неявная последняя запись deny ip any any, поэтому линия 9999 разрешает весь остальной трафик.
Коммутаторы 2530 поддерживают списки ACL также на уровне VLAN, поэтому их может быть проще применить там. Как правило, вам нужно как можно скорее отфильтровать нежелательный трафик.