Cisco: ngăn vlan liên lạc với nhau trên bộ định tuyến cisco (thay thế ACL)

10

Thiết lập: Bộ định tuyến của Cisco có nhiều Vlan được cấu hình trên đó.

Làm thế nào bạn có thể ngăn 2 Vlan giao tiếp với nhau? Thông thường tôi sẽ làm điều này với ACL như thế này:

access-list 102 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
access-list 102 deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

int vlan 1
ip address 1.1.1.1 255.255.255.0
access-group 102 in

int vlan 2
ip address 2.2.2.2 255.255.255.0
access-group 102 in

Tuy nhiên, điều này không hữu ích khi xử lý nhiều Vlan được cấu hình trên bộ định tuyến. Bất kỳ đề xuất điều chỉnh này hoặc sử dụng một thay thế để cải thiện khả năng mở rộng?

cisco  routing  security  acl  cisco-commands 
Bulki
nguồn

Câu trả lời:

14

Hoàn toàn đồng ý với Stefan. VRF là cách để đi đến đây. Ví dụ nhanh về cách kết hợp nó với cấu hình được đề xuất:

ip vrf VLAN1
  rd 42:1
ip vrf VLAN2
  rd 42:2
!
int vlan1
  ip vrf forwarding VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  ip vrf forwading VLAN2
  ip address 2.2.2.2 255.255.255.0
!

Bây giờ định tuyến vlan1 và vlan2 được tách ra.

Để kiểm tra các bảng định tuyến, ping, theo dõi bạn cần chỉ định vrf. ví dụ:

  • tuyến ip vrf Vlan1
  • theo dõi vrf Vlan2 192.0.2.1
  • ping vrf Vlan2 192.0.2.1

Hoặc tương tự trong nhận thức AFI mới, cấu hình hỗ trợ IPv6:

vrf definition VLAN1
  rd 42:1
  address-family ipv4
vrf definition VLAN2
  rd 42:2
  address-family ipv4
!
int vlan1
  vrf definition VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  vrf definition VLAN2
  ip address 2.2.2.2 255.255.255.0
!
ytti
nguồn
9

Mặc dù ACL là một cách đơn giản và an toàn, nhưng nó không thực sự mở rộng quy mô.

Nếu bộ định tuyến của bạn cung cấp VRF hoặc ít nhất là tính năng VRF Lite, bạn có thể nhóm Vlan thành VRF. Một VRF có thể được xem như một bộ định tuyến ảo, các phiên bản VRF không thể nói chuyện với nhau trừ khi bạn xác định rõ ràng định tuyến giữa chúng.

Trong một mạng phức tạp, tôi nhóm các Vlan thành một số miền bảo mật được thực hiện với VRF, chẳng hạn như VRF cho máy khách và máy chủ văn phòng, VRF cho các thiết bị công nghệ (điều khiển truy cập cửa, thang máy, cctv, ...), VRF cho khách và khách.

Stefan
nguồn
2

Nếu bạn muốn tắt định tuyến giữa bất kỳ Vlan nào, chỉ cần sử dụng:

 Switch(config)# no ip routing

Bạn sẽ cần một thiết bị L3 khác (bộ định tuyến, bộ chuyển đổi nhiều lớp) để định tuyến giữa một số Vlan.

Nyquist
nguồn
Tôi cho rằng anh ta vẫn muốn một số vlans nhất định liên lạc với nhau. Vô hiệu hóa loại định tuyến bất chấp quan điểm có bộ định tuyến ở vị trí đầu tiên, anh ta chỉ có thể gắn bó với công tắc L2 của mình, nơi các Vlan đã được tách ra.
Stefan Radovanovici
2
Đúng, nhưng sau đó, một lần nữa, thật tốt khi biết có một tùy chọn :)
Nyquist
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.