Изоляция портов, изоляция устройств (ACL) и собственные правила L2 ACL все работают на уровне 2. Каждая из них может достичь одной и той же цели — блокировать трафик внутри одного VLAN. Как структурировать вашу конфигурацию так, чтобы эти правила были логичными и не пересекались, или чтобы вы не могли случайно навредить себе во время будущих обновлений?
Например, большинство моих серверов на VLAN 10 должны быть изолированы, поэтому в их профилях портов включена функция "Изоляция портов". Однако, им нужно общаться с NTP-сервером в той же сети, поэтому я настроил правило ALLOW в L2 ACL для этого. В будущем я могу случайно проверить состояние порта и, забыв о пользовательском ACL-правиле, сделать неверный вывод об отсутствии трафика между VLAN, что приведет к потере времени на отладку. Как этого можно избежать или как лучше к этому подходить? Я понимаю, что ответ может быть простым: «Просто не забывай».
Спасибо.
Например, большинство моих серверов на VLAN 10 должны быть изолированы, поэтому в их профилях портов включена функция "Изоляция портов". Однако, им нужно общаться с NTP-сервером в той же сети, поэтому я настроил правило ALLOW в L2 ACL для этого. В будущем я могу случайно проверить состояние порта и, забыв о пользовательском ACL-правиле, сделать неверный вывод об отсутствии трафика между VLAN, что приведет к потере времени на отладку. Как этого можно избежать или как лучше к этому подходить? Я понимаю, что ответ может быть простым: «Просто не забывай».
Спасибо.