在数据中心环境中，如何实现同一个IP段内的MAC隐藏。

liushanshan633 · ‎11-07-2019

如题：
在数据中心环境中，如何实现同一个IP段内的MAC隐藏。如：同一个段内，A客户端查询ARP表，看到所有这个段的IP-MAC都是AAAAA。。
有好的思路或者某厂产品支持吗？

Terence.Jh · ‎11-08-2019

如果客户端的ARP表显示是无法看到相同网段的正常解析，那么这个客户端就不能访问相同网段的其他IP
如果是这样，那么你的需求就是同一个网段的终端互相之间不能互访？
1：DACL基于端口实现目的IP/端口deny
2：使用VXLAN+SGT实现隔离

YilinChen · ‎11-08-2019

VXLAN 代理ARP

liushanshan633 · ‎11-10-2019

terence 发表于 2019-11-9 09:57
如果客户端的ARP表显示是无法看到相同网段的正常解析，那么这个客户端就不能访问相同网段的其他IP
如果是 ...

主要目的不是为了客户端隔离，我想做的是隐藏IP的真实mac，让其他客户端看到的mac只能是我想让他看到的。这样实现二层安全。

liushanshan633 · ‎11-10-2019

YilinChen 发表于 2019-11-9 15:47
VXLAN 代理ARP

实现的是同一个网段内的mac隐藏哦，不需要vxlan的环境。直接用arp代理可以实现吗？

bo chen · ‎11-10-2019

liushanshan 发表于 2019-11-11 10:56
主要目的不是为了客户端隔离，我想做的是隐藏IP的真实mac，让其他客户端看到的mac只能是我想让他看到的。 ...

你这个需求直接做代理就可以了，把所有应用放到一台代理服务器上，然后解析出的IP全部都是同一个代理服务器的IP。应用端根本就看不到实际IP是什么。

YilinChen · ‎11-11-2019

liushanshan 发表于 2019-11-11 11:54
实现的是同一个网段内的mac隐藏哦，不需要vxlan的环境。直接用arp代理可以实现吗？

你可以尝试一下