Cisco: Vlan'ların Cisco Router'da birbirleriyle iletişim kurmasını engelleyin (ACL alternatifi)

10

Kurulum: Üzerinde birden fazla VLAN bulunan Cisco yönlendirici.

2 VLAN'ın birbirleriyle iletişim kurmasını nasıl önleyebilirsiniz? Normalde böyle ACL ile böyle yapardı:

access-list 102 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
access-list 102 deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

int vlan 1
ip address 1.1.1.1 255.255.255.0
access-group 102 in

int vlan 2
ip address 2.2.2.2 255.255.255.0
access-group 102 in

Ancak bu, bir yönlendiricide yapılandırılan çok sayıda VLAN ile uğraşırken kullanışlı değildir. Bunu düzeltmek veya ölçeklenebilirliği artırmak için bir alternatif kullanmak için herhangi bir öneriniz var mı?

cisco  routing  security  acl  cisco-commands 
bułki
kaynak

Yanıtlar:

14

Stefan ile tamamen anlaştı. VRF buraya gitmenin yolu. Önerilen yapılandırmaya nasıl dahil edileceğine dair hızlı örnek:

ip vrf VLAN1
  rd 42:1
ip vrf VLAN2
  rd 42:2
!
int vlan1
  ip vrf forwarding VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  ip vrf forwading VLAN2
  ip address 2.2.2.2 255.255.255.0
!

Şimdi vlan1 ve vlan2 yönlendirme ayrılmıştır.

Yönlendirme tablolarını, ping'i, traceroute'u incelemek için vrf'yi belirtmeniz gerekir. Örneğin:

  • ip yolu vrf VLAN1
  • traceroute vrf VLAN2 192.0.2.1
  • ping vrf VLAN2 192.0.2.1

Ya da yeni AFI uyumlu, IPv6 destekleyen yapılandırma:

vrf definition VLAN1
  rd 42:1
  address-family ipv4
vrf definition VLAN2
  rd 42:2
  address-family ipv4
!
int vlan1
  vrf definition VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  vrf definition VLAN2
  ip address 2.2.2.2 255.255.255.0
!
ytti
kaynak
9

ACL'ler basit ve güvenli bir yol olsa da, gerçekten iyi ölçeklenmez.

Yönlendiriciniz VRF veya en azından VRF Lite özelliğini sağlıyorsa, VLAN'ları VRF'lere gruplayabilirsiniz. Bir VRF , sanal bir yönlendirici gibi görülebilir, VRF örnekleri, aralarında yönlendirmeyi açıkça tanımlamadığınız sürece birbiriyle konuşamaz.

Karmaşık bir ağda, VLAN'ları ofis istemcileri ve sunucusu için bir VRF, teknoloji cihazları için bir VRF (kapı erişim kontrolü, asansörler, cctv, ...), konuklar için bir VRF ve Ziyaretçi.

Stefan
kaynak
2

Herhangi bir VLAN arasındaki yönlendirmeyi devre dışı bırakmak istiyorsanız, şunu kullanın:

 Switch(config)# no ip routing

Bazı VLAN'lar arasında geçiş yapmak için başka bir L3 cihazına (yönlendirici, çok katmanlı anahtar) ihtiyacınız olacaktır.

Nyquist
kaynak
Hala bazı vlansların birbirleriyle iletişim kurmasını istediğini varsayıyorum. Yönlendirmeyi devre dışı bırakmak, ilk önce bir yönlendiriciye sahip olma noktasını ortadan kaldırır, sadece VLAN'ların ayrılmış olduğu L2 anahtarıyla yapışabilir.
Stefan Radovanovici
2
Doğru, ama sonra tekrar, bir seçenek olduğunu bilmek güzel :)
Nyquist
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.