Cisco: mencegah vlan berkomunikasi dengan satu sama lain di router cisco (alternatif ACL)

10

Pengaturan: Router Cisco dengan beberapa VLAN yang dikonfigurasi di dalamnya.

Bagaimana Anda dapat mencegah 2 VLAN berkomunikasi dengan satu sama lain? Biasanya saya akan melakukan ini dengan ACL seperti ini:

access-list 102 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
access-list 102 deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

int vlan 1
ip address 1.1.1.1 255.255.255.0
access-group 102 in

int vlan 2
ip address 2.2.2.2 255.255.255.0
access-group 102 in

Namun ini tidak berguna ketika berhadapan dengan banyak VLAN yang dikonfigurasi pada router. Adakah saran untuk mengubah ini atau menggunakan alternatif untuk meningkatkan skalabilitas?

cisco routing security acl cisco-commands Bulki
sumber

Jawaban:

14

Sepenuhnya setuju dengan Stefan. VRF adalah cara untuk pergi ke sini. Contoh cepat cara memasukkannya ke konfigurasi yang disarankan:

ip vrf VLAN1
  rd 42:1
ip vrf VLAN2
  rd 42:2
!
int vlan1
  ip vrf forwarding VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  ip vrf forwading VLAN2
  ip address 2.2.2.2 255.255.255.0
!

Sekarang vlan1 dan vlan2 routing dipisahkan.

Untuk memeriksa tabel routing, ping, traceroute Anda perlu menentukan vrf. misalnya:

  • ip route vrf VLAN1
  • traceroute vrf VLAN2 192.0.2.1
  • ping vrf VLAN2 192.0.2.1

Atau sama di AFI baru, konfigurasi pendukung IPv6:

vrf definition VLAN1
  rd 42:1
  address-family ipv4
vrf definition VLAN2
  rd 42:2
  address-family ipv4
!
int vlan1
  vrf definition VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  vrf definition VLAN2
  ip address 2.2.2.2 255.255.255.0
!
ytti
sumber
9

Meskipun ACL adalah cara yang sederhana dan aman, ACL tidak dapat diukur dengan baik.

Jika router Anda menyediakan VRF atau setidaknya fitur VRF Lite, Anda dapat mengelompokkan VLAN ke dalam VRF. Sebuah VRF dapat dilihat seperti router virtual, VRF kasus tidak dapat berbicara satu sama lain kecuali Anda secara eksplisit menentukan routing antara mereka.

Dalam jaringan yang kompleks, saya mengelompokkan VLAN ke dalam beberapa domain keamanan yang dilakukan dengan VRF, seperti VRF untuk klien kantor dan server, VRF untuk perangkat teknologi (kontrol akses pintu, lift, cctv, ...), VRF untuk tamu dan pengunjung.

Stefan
sumber
2

Jika Anda ingin menonaktifkan perutean di antara VLAN apa pun, cukup gunakan:

 Switch(config)# no ip routing

Anda akan memerlukan perangkat L3 lain (router, saklar multi-layer) untuk merutekan antara beberapa VLAN.

Nyquist
sumber
Saya berasumsi dia masih ingin vlan tertentu untuk berkomunikasi satu sama lain. Menonaktifkan routing agak menentang titik memiliki router di tempat pertama, ia hanya bisa tetap dengan saklar L2-nya di mana VLAN sudah terpisah.
Stefan Radovanovici
2
Benar, tapi sekali lagi, ada baiknya mengetahui ada pilihan :)
Nyquist