交換機3560禁止兩個端口通訊

rpgghost · 发表于 2015-12-27 21:25:05

在同一部48端口的C3560完成以下所以條件
1) 任何裝置接駁到 Port 1 後，只能夠與連接 Port 2 的任何裝置通訊，同時 Port 1 不能與 Port 3 至 Port 48 進行通訊
2) 符合上述條件下，任何裝置接駁到 Port 48 後不能夠與 Port 1 通訊，但 Port 48 可以與 Port 2 至 Port 47 進行通訊
3) 符合上述條件下，任何裝置接駁上 Port 2 後，可以與所有 Port 1,3-48 進行口通訊

附加要求
1) 不能使用VLAN
2) 不能使用PRIVATE VLAN

ps. 在TP-LINK的交換機上是十分容易完成上述條件，那麼你認為CISCO的又是怎樣處理?

yaoguojun1989 · 发表于 2015-12-27 21:25:06

c3560是三层交换机，直接ACL就搞定了
!
interface Ethernet0/0
duplex auto
!
interface Ethernet0/1
no switchport
ip address 1.1.1.1 255.255.255.252
ip access-group port1 in
!
interface Ethernet0/2
no switchport
ip address 2.2.2.1 255.255.255.252
!
interface Ethernet0/3
no switchport
ip address 3.3.3.1 255.255.255.252
!
interface Ethernet1/0
no switchport
ip address 4.4.4.1 255.255.255.252
!
interface Ethernet1/1
duplex auto
!
interface Ethernet1/2
duplex auto
!
interface Ethernet1/3
duplex auto
!
interface Ethernet2/0
duplex auto
!
interface Ethernet2/1
duplex auto
!
interface Ethernet2/2
duplex auto
!
interface Ethernet2/3
duplex auto
!
interface Ethernet3/0
duplex auto
!
interface Ethernet3/1
duplex auto
!
interface Ethernet3/2
duplex auto
!
interface Ethernet3/3
no switchport
ip address 48.48.48.1 255.255.255.252
ip access-group port48 in
!
interface Vlan1
no ip address
shutdown
!
!
no ip http server
!
!
ip access-list extended port1
permit ip 1.1.1.0 0.0.0.3 2.2.2.0 0.0.0.3
ip access-list extended port48
deny ip 48.48.48.0 0.0.0.3 1.1.1.0 0.0.0.3
permit ip any any
!
!
!
!

yaoguojun1989 · 发表于 2015-12-28 00:55:05

本帖最后由 yaoguojun1989 于 2015-12-28 00:59 编辑

子接口也能实现，不知道算不算vlan

zyb1984 · 发表于 2015-12-28 01:19:53

PORT PROTECT

zyb1984 · 发表于 2015-12-28 01:20:19

switch protect

zyb1984 · 发表于 2015-12-28 01:20:25

switch protect

zyb1984 · 发表于 2015-12-28 01:22:04

有一个和VLAN差不多的命令，二层隔离
INT F0/1
SWITCHPORT PROTECTED

rpgghost · 发表于 2015-12-28 08:18:14

本帖最后由 rpgghost 于 2015-12-28 08:23 编辑

yaoguojun1989 发表于 2015-12-28 00:54
c3560是三层交换机，直接ACL就搞定了
!
interface Ethernet0/0

也曾經想過這個方法，但由於不知道廠方提供的器才的IP，所以接駁到 PORT 1 時，無法以 IP 、MAC 方式來設定ACL。

rpgghost · 发表于 2015-12-28 08:23:15

本帖最后由 rpgghost 于 2015-12-28 08:35 编辑

zyb1984 发表于 2015-12-28 01:19
PORT PROTECT

這個方法也想過，但 Swicthport protected 的使用條件是設定了Swicthport protected的Port不能夠與其他設定了Swicthport protected的Port通訊，換言之，令Port 1與Port 48之間不能通訊可以使用Swicthport protected，但並不能阻止 Port 1 與 Port 3-47之間的通訊。這樣便違返了要求。若果 Port 3-47 也設定了 Swicthport protected 那麼就無法與 Port 48 通訊。
若果在TP-link裡，有一項設定叫Port Security，可以讓指定的Port互相通訊，並且完全是剔格仔就能做到。

rpgghost · 发表于 2015-12-28 08:37:14

yaoguojun1989 发表于 2015-12-28 00:55
子接口也能实现，不知道算不算vlan

由於使用ASA做防火牆，所以做不到Sub Interface，同時公司也抗拒使用VLAN、Private VLAN，可以使用便不用頭痛了。

Rockyw · 发表于 2015-12-28 10:47:48

我想到的也是ACL，但被你否决了，看哪位还有更高明的方法

rpgghost · 发表于 2015-12-28 13:09:12

本帖最后由 rpgghost 于 2015-12-28 13:10 编辑

Rockyw 发表于 2015-12-28 10:47
我想到的也是ACL，但被你否决了，看哪位还有更高明的方法

我最初想到的也是ACL，但需要將貨物送到客戶前完成設定，所以不可能知道接駁 Port 1 和 Port 48 的裝置的 IP 和 MAC address。

yaoguojun1989 · 发表于 2016-1-10 10:31:55

rpgghost 发表于 2015-12-28 13:09
我最初想到的也是ACL，但需要將貨物送到客戶前完成設定，所以不可能知道接駁 Port 1 和 Port 48 的裝置的 ...

把线全插上然后，show ARP + DHCP 得出MAC地址和ip表

账号		自动登录	找回密码
密码			论坛注册

[求助] 交換機3560禁止兩個端口通訊

最佳答案

浏览过的版块

客服中心

投诉建议