วิธีที่ดีที่สุดในการบล็อกการแอบอ้าง IP บนสวิตช์เลเยอร์ 3 คืออะไร

เรากำลังโฮสต์เซิร์ฟเวอร์เฉพาะและกำลังใช้สวิตช์ 3com ตัวเก่าที่มี IP-based ACL ดังนั้นแต่ละพอร์ตมี ACL ที่อนุญาตให้ที่อยู่ IP ทั้งหมดที่กำหนดให้กับลูกค้ารายนี้และบล็อกทุกอย่างอื่น

แต่ตอนนี้ 3com ถูกซื้อโดย HP และรุ่นติดตามนั้นรองรับเฉพาะ ACL พื้นฐานที่ไม่ยืดหยุ่นพอที่จะอนุญาต IP ทั้งสองขณะปิดกั้นผู้อื่น เมื่อดูที่สวิตช์อื่นในช่วงราคาใกล้เคียงกันเราพบว่าส่วนใหญ่มีปัญหาที่คล้ายกันหรือไม่มีคุณสมบัติ ACL เลย

ฉันคิดว่าสิ่งนี้สามารถทำได้ด้วย VLANs แต่ถ้าฉันเข้าใจอย่างถูกต้องเรายังคงต้องการ ACL บางชนิดเพื่อระบุที่อยู่ IP ที่ถูกต้องสำหรับแต่ละพอร์ต

คุณใช้อะไรเพื่อให้แน่ใจว่าลูกค้าของคุณไม่ได้ใช้ที่อยู่ IP ที่ไม่ได้กำหนด หรือสวิตช์ใดที่คุณสามารถแนะนำให้มีฟังก์ชัน ACL ที่ยืดหยุ่นได้

ทำงานในร้านค้าส่วนใหญ่ของ Cisco ที่นี่และแม้กระทั่งพื้นฐานที่สุดของซีรี่ส์ 29XX ก็รองรับ ACL ทำได้ง่ายเพียงเพิ่มรายการเข้าถึงที่ด้านบนเช่น:

ip access-list มาตรฐาน Fa01
 ใบอนุญาต 192.0.2.1
 ใบอนุญาต 192.0.2.2

จากนั้นในการกำหนดค่าสำหรับส่วนต่อประสาน Fa0 / 1

อินเตอร์เฟส FastEthernet0 / 1
 ip access-group fa01 ใน

มีผู้ผลิตรายอื่นที่สามารถทำสวิตช์ได้มากมายอย่างไม่ต้องสงสัย แต่ฉันสามารถแนะนำ Cisco สำหรับงานนี้ได้