Cisco: запобігання спілкуванню Vlan з комунікатором на маршрутизаторі cisco (альтернатива ACL)

10

Налаштування: маршрутизатор Cisco з декількома VLAN налаштований на ньому.

Як ви можете запобігти спілкуванню 2 VLAN з іншими? Зазвичай я б це робив з таким ACL:

access-list 102 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
access-list 102 deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

int vlan 1
ip address 1.1.1.1 255.255.255.0
access-group 102 in

int vlan 2
ip address 2.2.2.2 255.255.255.0
access-group 102 in

Однак це не зручно при роботі з партіями VLAN, налаштованими на маршрутизаторі. Будь-які пропозиції змінити цю проблему чи використовувати альтернативу для покращення масштабованості?

cisco  routing  security  acl  cisco-commands 
Бульки
джерело

Відповіді:

14

Повністю погодився зі Стефаном. VRF - це шлях до цього. Короткий приклад, як включити його до запропонованого конфігурації:

ip vrf VLAN1
  rd 42:1
ip vrf VLAN2
  rd 42:2
!
int vlan1
  ip vrf forwarding VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  ip vrf forwading VLAN2
  ip address 2.2.2.2 255.255.255.0
!

Тепер маршрутизація vlan1 і vlan2 відокремлена.

Для огляду таблиць маршрутизації, ping, traceroute потрібно вказати vrf. наприклад:

  • ip route vrf VLAN1
  • traceroute vrf VLAN2 192.0.2.1
  • ping vrf VLAN2 192.0.2.1

Або те ж саме в нових відомих AFI, що підтримує конфігурацію IPv6:

vrf definition VLAN1
  rd 42:1
  address-family ipv4
vrf definition VLAN2
  rd 42:2
  address-family ipv4
!
int vlan1
  vrf definition VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  vrf definition VLAN2
  ip address 2.2.2.2 255.255.255.0
!
ytti
джерело
9

Хоча ACL - простий і безпечний спосіб, він насправді не масштабується.

Якщо ваш маршрутизатор пропонує VRF або принаймні функцію VRF Lite, ви можете згрупувати VLAN в VRF. VRF можна побачити як віртуальний маршрутизатор, екземпляри VRF не можуть розмовляти один з одним , якщо ви явно не визначити маршрутизацію між ними.

У складній мережі я групую VLAN в декілька областей безпеки, виконаних за допомогою VRF, таких як VRF для офісних клієнтів та сервера, VRF для технологічних пристроїв (контроль доступу до дверей, ліфти, відеоспостереження, ...), VRF для гостей та відвідувачів.

Стефан
джерело
2

Якщо ви хочете відключити маршрутизацію між будь-якою VLAN, просто використовуйте:

 Switch(config)# no ip routing

Вам знадобиться інший пристрій L3 (маршрутизатор, багатошаровий комутатор) для маршруту між деякими VLAN.

Найквіст
джерело
Я припускаю, що він все ще хоче, щоб певні владники спілкувалися між собою. Якщо вимкнути своєрідну маршрутизацію, не вдається в першу чергу мати маршрутизатор, він міг би просто дотримуватися свого перемикача L2, де VLAN вже розділені.
Стефан Радовановичі
2
Щоправда, але знову ж таки, добре знати, що є варіант :)
Nyquist
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.