Моя цель — добавить RB750 в Layer3 Switch, потому что если пользователь вручную укажет неправильный адрес класса в своей сетевой карте, но этот класс маршрута существует в RB, он сможет получить доступ к FTP. Как это возможно? Если каждому подсегменту назначается отдельный порт на маршрутизаторе, то только допустимый IP-адрес в этом подсегменте сможет подключиться через маршрутизатор. Например, скажем, 192.168.1.1/24 назначен на ether1, а 10.0.0.1/24 — на ether2. Если пользователь подключается к ether1 с IP-адресом 10.0.0.50/24 и шлюзом по умолчанию 10.0.0.1, то он не сможет передавать трафик через маршрутизатор. Ему нужен адрес из сети 192.168.1.0/24. Это связано с тем, как работает сетевой стек (поищите OSI model в Google). Когда IP-адрес назначения находится в другом подсегменте от исходного клиента, то клиент попытается отправить трафик шлюзу по умолчанию (10.0.0.1 в данном случае). Он попытается найти шлюз с помощью протокола ARP. ARP — это протокол сетевого уровня (уровень 2), и он не пересекает подсети на сетевом уровне (уровень 3). Это означает, что запрос ARP не будет разрешен, и клиент с адресом 10.0.0.50 никогда не найдет шлюз по умолчанию, когда он подключен к ether1. Если вы настроите свои подсети на отдельных интерфейсах и будете контролировать, какие клиенты подключаются к каким подсетям, то будет легко контролировать доступ к FTP-серверу с помощью правил фильтра брандмауэра.
