Cisco: предотвращает связь vlan с друг другом на маршрутизаторе cisco (альтернатива ACL)

10

Настройка: маршрутизатор Cisco с несколькими настроенными VLAN на нем.

Как вы можете предотвратить связь 2 VLAN друг с другом? Обычно я делаю это с ACL вот так:

access-list 102 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
access-list 102 deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

int vlan 1
ip address 1.1.1.1 255.255.255.0
access-group 102 in

int vlan 2
ip address 2.2.2.2 255.255.255.0
access-group 102 in

Это, однако, не удобно при работе с большим количеством VLAN, настроенных на маршрутизаторе. Любые предложения по настройке этого или использования альтернативы для улучшения масштабируемости?

Bulki
источник

Ответы:

14

Полностью согласен со Стефаном. VRF это путь сюда. Быстрый пример, как включить его в предложенный конфиг:

ip vrf VLAN1
  rd 42:1
ip vrf VLAN2
  rd 42:2
!
int vlan1
  ip vrf forwarding VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  ip vrf forwading VLAN2
  ip address 2.2.2.2 255.255.255.0
!

Теперь маршрутизация vlan1 и vlan2 разделена.

Для проверки таблиц маршрутизации, ping, traceroute необходимо указать vrf. например:

  • ip route vrf VLAN1
  • traceroute vrf VLAN2 192.0.2.1
  • ping vrf VLAN2 192.0.2.1

Или то же самое в новом AFI, поддерживающем конфигурацию IPv6:

vrf definition VLAN1
  rd 42:1
  address-family ipv4
vrf definition VLAN2
  rd 42:2
  address-family ipv4
!
int vlan1
  vrf definition VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  vrf definition VLAN2
  ip address 2.2.2.2 255.255.255.0
!
ytti
источник
9

Хотя ACL - простой и безопасный способ, он не очень хорошо масштабируется.

Если ваш маршрутизатор обеспечивает VRF или, по крайней мере, функцию VRF Lite, вы можете сгруппировать VLAN в VRF. VRF можно увидеть как виртуальный маршрутизатор, экземпляры VRF не могут разговаривать друг с другом , если вы явно не определить маршрутизацию между ними.

В сложной сети я группирую виртуальные локальные сети в несколько доменов безопасности с использованием VRF, таких как VRF для офисных клиентов и серверов, VRF для технических устройств (управление доступом к двери, лифты, видеонаблюдение, ...), VRF для гостей и посетители.

Стефан
источник
2

Если вы хотите отключить маршрутизацию между любыми VLAN, просто используйте:

 Switch(config)# no ip routing

Вам понадобится другое устройство L3 (маршрутизатор, многоуровневый коммутатор) для маршрутизации между некоторыми VLAN.

Найквиста
источник
Я предполагаю, что он все еще хочет, чтобы определенные vlans общались друг с другом. Отключение маршрутизации, в первую очередь, лишает смысла наличие маршрутизатора, он может просто придерживаться своего коммутатора L2, где VLAN уже разделены.
Стефан Радованович
2
Правда, но опять же, приятно знать, что есть вариант :)
Nyquist