Cisco: zapobiegaj komunikacji sieci Vlan ze sobą na routerze cisco (alternatywa ACL)

10

Konfiguracja: Router Cisco z wieloma skonfigurowanymi sieciami VLAN.

Jak możesz zapobiec komunikacji 2 VLAN ze sobą? Normalnie zrobiłbym to z listami ACL w następujący sposób:

access-list 102 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
access-list 102 deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

int vlan 1
ip address 1.1.1.1 255.255.255.0
access-group 102 in

int vlan 2
ip address 2.2.2.2 255.255.255.0
access-group 102 in

Nie jest to jednak przydatne, gdy mamy do czynienia z wieloma sieciami VLAN skonfigurowanymi na routerze. Jakieś sugestie ulepszenia tego lub skorzystania z alternatywy dla poprawy skalowalności?

Bulki
źródło

Odpowiedzi:

14

W pełni uzgodniony ze Stefanem. VRF jest tutaj najlepszym sposobem. Szybki przykład włączenia go do sugerowanej konfiguracji:

ip vrf VLAN1
  rd 42:1
ip vrf VLAN2
  rd 42:2
!
int vlan1
  ip vrf forwarding VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  ip vrf forwading VLAN2
  ip address 2.2.2.2 255.255.255.0
!

Teraz routing vlan1 i vlan2 jest oddzielony.

Aby sprawdzić tabele routingu, ping, traceroute, musisz określić vrf. na przykład:

  • ip route vrf VLAN1
  • traceroute vrf VLAN2 192.0.2.1
  • ping vrf VLAN2 192.0.2.1

Lub to samo w nowej konfiguracji AFI z obsługą IPv6:

vrf definition VLAN1
  rd 42:1
  address-family ipv4
vrf definition VLAN2
  rd 42:2
  address-family ipv4
!
int vlan1
  vrf definition VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  vrf definition VLAN2
  ip address 2.2.2.2 255.255.255.0
!
iti
źródło
9

Chociaż listy ACL są prostym i bezpiecznym sposobem, w rzeczywistości nie skalują się dobrze.

Jeśli router udostępnia funkcję VRF lub przynajmniej funkcję VRF Lite, można pogrupować sieci VLAN w VRF. VRF można zobaczyć jak wirtualny router, instancje VRF nie mogą ze sobą rozmawiać, chyba że jawnie zdefiniować routing między nimi.

W złożonej sieci grupuję sieci VLAN w kilka domen bezpieczeństwa wykonanych za pomocą VRF, takich jak VRF dla klientów biurowych i serwera, VRF dla urządzeń technicznych (kontrola dostępu do drzwi, windy, cctv, ...), VRF dla gości i goście.

Stefan
źródło
2

Jeśli chcesz wyłączyć routing między dowolną siecią VLAN, po prostu użyj:

 Switch(config)# no ip routing

Będziesz potrzebował innego urządzenia L3 (router, przełącznik wielowarstwowy) do trasowania między niektórymi sieciami VLAN.

Nyquist
źródło
Zakładam, że nadal chce, aby niektóre vlany komunikowały się ze sobą. Wyłączenie routingu w pewnym sensie przeciwstawia się posiadaniu routera, mógł po prostu trzymać swój przełącznik L2 tam, gdzie sieci VLAN są już oddzielone.
Stefan Radovanovici
2
To prawda, ale z drugiej strony dobrze jest wiedzieć, że jest opcja :)
Nyquist