将IP子网限制在特定的VLAN (Brocade ICX)

Question

假设我有一个上行端口(1/3/1)连接到我们的上游，然后在1/1/1 - 1/1/48之间连接不同的客户端。我希望创建两个或多个VLAN，其中每个VLAN只能使用来自特定子网的IP。

例如：

vlan 101
tag e 1/3/1
untag e 1/1/1 to 1/1/24
(assign 10.0.0.0/24 to vlan 101)?

vlan 102
tag e 1/3/1
untag e 1/1/25 to 1/1/48
(assign 10.0.1.0/24 to vlan 102)?

(route vlan 101 & 102 traffic through 1/3/1)?

我希望防止vlan 102 (例如1/1/25)中的主机使用属于vlan 101 (例如10.0.0.5)的IP，反之亦然。

，什么是实现这一目标的最佳方法？

请注意，这个开关是第三层的能力。

Answer 1

贾斯汀，我不知道一个交换机供应商的任何功能，它将检查VLAN上的第二层通信量，以强制执行第三层寻址。如果为这些VLAN分配虚拟以太网接口(相当于Cisco SVI的Brocade名称，基本上是VLAN的路由接口)，则VLAN上的其他设备只能使用与VE IP地址相同的子网内的IP地址，以便能够使用交换机作为默认网关并从该子网和VLAN获得路由服务。这将不会阻止VLAN上的两个或多个设备使用单独的IP子网，并且能够与同一VLAN上同一子网中的任何其他设备通信。然而，这些设备不会很有用，因为它们将无法到达任何其他服务，因为它们将没有一个有效的默认网关来允许它们与其他子网、服务器、因特网等进行通信。

Answer 2

我不认为有办法在交换机上强制客户端IP地址，但是如果您控制了客户端，您可以阻止他们静态地分配他们的IP，并在VLAN上建立一个只分配批准的IP的DHCP服务器。