请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

   思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 233|回复: 6

在数据中心环境中,如何实现同一个IP段内的MAC隐藏。

[复制链接]
发表于 7 天前 | 显示全部楼层 |阅读模式
0可用金钱
如题:
在数据中心环境中,如何实现同一个IP段内的MAC隐藏。如:同一个段内,A客户端查询ARP表,看到所有这个段的IP-MAC都是AAAAA。。
有好的思路或者某厂产品支持吗?

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 6 天前 | 显示全部楼层
如果客户端的ARP表显示是无法看到相同网段的正常解析,那么这个客户端就不能访问相同网段的其他IP
如果是这样,那么你的需求就是同一个网段的终端互相之间不能互访?
1:DACL基于端口实现目的IP/端口deny
2:使用VXLAN+SGT实现隔离
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 6 天前 | 显示全部楼层
VXLAN 代理ARP
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 4 天前 | 显示全部楼层
terence 发表于 2019-11-9 09:57
如果客户端的ARP表显示是无法看到相同网段的正常解析,那么这个客户端就不能访问相同网段的其他IP
如果是 ...

主要目的不是为了客户端隔离,我想做的是隐藏IP的真实mac,让其他客户端看到的mac只能是我想让他看到的。这样实现二层安全。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 4 天前 | 显示全部楼层

实现的是同一个网段内的mac隐藏哦,不需要vxlan的环境。直接用arp代理可以实现吗?
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 4 天前 | 显示全部楼层
liushanshan 发表于 2019-11-11 10:56
主要目的不是为了客户端隔离,我想做的是隐藏IP的真实mac,让其他客户端看到的mac只能是我想让他看到的。 ...

你这个需求直接做代理就可以了,把所有应用放到一台代理服务器上,然后解析出的IP全部都是同一个代理服务器的IP。应用端根本就看不到实际IP是什么。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 3 天前 | 显示全部楼层
liushanshan 发表于 2019-11-11 11:54
实现的是同一个网段内的mac隐藏哦,不需要vxlan的环境。直接用arp代理可以实现吗?

你可以尝试一下
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-11-15 23:57 , Processed in 0.091690 second(s), 46 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表