Cisco: impedire ai vlan di comunicare tra loro sul router Cisco (alternativa ACL)

10

Installazione: router Cisco con più VLAN configurate su di esso.

Come puoi impedire a 2 VLAN di comunicare tra loro? Normalmente lo farei con ACL in questo modo:

access-list 102 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
access-list 102 deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

int vlan 1
ip address 1.1.1.1 255.255.255.0
access-group 102 in

int vlan 2
ip address 2.2.2.2 255.255.255.0
access-group 102 in

Questo, tuttavia, non è utile quando si hanno a che fare con molte VLAN configurate su un router. Qualche suggerimento su come modificare questo o utilizzare un'alternativa per migliorare la scalabilità?

cisco  routing  security  acl  cisco-commands 
Bulki
fonte

Risposte:

14

Completamente d'accordo con Stefan. VRF è la strada da percorrere qui. Esempio rapido di come incorporarlo nella configurazione suggerita:

ip vrf VLAN1
  rd 42:1
ip vrf VLAN2
  rd 42:2
!
int vlan1
  ip vrf forwarding VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  ip vrf forwading VLAN2
  ip address 2.2.2.2 255.255.255.0
!

Ora il routing vlan1 e vlan2 è separato.

Per controllare le tabelle di routing, ping, traceroute è necessario specificare il vrf. per esempio:

  • ip route vrf VLAN1
  • traceroute vrf VLAN2 192.0.2.1
  • ping vrf VLAN2 192.0.2.1

O lo stesso nella nuova AFI compatibile, configurazione di supporto IPv6:

vrf definition VLAN1
  rd 42:1
  address-family ipv4
vrf definition VLAN2
  rd 42:2
  address-family ipv4
!
int vlan1
  vrf definition VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  vrf definition VLAN2
  ip address 2.2.2.2 255.255.255.0
!
ytti
fonte
9

Mentre gli ACL sono un modo semplice e sicuro, in realtà non si adattano bene.

Se il tuo router fornisce VRF o almeno la funzione VRF Lite, puoi raggruppare le VLAN in VRF. Un VRF può essere visto come un router virtuale, le istanze VRF non possono comunicare tra loro se non si definisce esplicitamente il routing tra di loro.

In una rete complessa, raggruppo VLAN in diversi domini di sicurezza eseguiti con VRF, come un VRF per client e server d'ufficio, un VRF per dispositivi tecnologici (controllo degli accessi alle porte, ascensori, cctv, ...), un VRF per ospiti e visitatori.

Stefan
fonte
2

Se si desidera disabilitare il routing tra qualsiasi VLAN, utilizzare semplicemente:

 Switch(config)# no ip routing

Sarà necessario un altro dispositivo L3 (router, switch multi-layer) per instradare tra alcune VLAN.

Nyquist
fonte
Suppongo che voglia ancora che certi furgoni comunichino tra loro. Disabilitare il routing in qualche modo sfida il punto di avere un router in primo luogo, potrebbe semplicemente attaccare con il suo switch L2 dove le VLAN sono già separate.
Stefan Radovanovici,
2
È vero, ma ancora una volta, è bello sapere che esiste un'opzione :)
Nyquist,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.