Cisco: ป้องกัน vlan ที่จะสื่อสารกับแต่ละคนบนเราเตอร์ของซิสโก้ (ทางเลือก ACL)

10

ตั้งค่า: เราเตอร์ Cisco ที่มีหลาย VLAN ที่กำหนดค่าไว้

คุณจะป้องกันไม่ให้ 2 VLAN สื่อสารกับคนอื่นได้อย่างไร ปกติฉันจะทำกับ ACL เช่นนี้

access-list 102 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
access-list 102 deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

int vlan 1
ip address 1.1.1.1 255.255.255.0
access-group 102 in

int vlan 2
ip address 2.2.2.2 255.255.255.0
access-group 102 in

อย่างไรก็ตามเรื่องนี้ไม่สะดวกเมื่อต้องจัดการกับ VLAN จำนวนมากที่กำหนดค่าไว้ในเราเตอร์ ข้อเสนอแนะใด ๆ ของการปรับแต่งนี้หรือใช้ทางเลือกเพื่อปรับปรุงความยืดหยุ่น?

cisco  routing  security  acl  cisco-commands 
Bulki
แหล่งที่มา

คำตอบ:

14

เห็นด้วยอย่างเต็มที่กับสเตฟาน VRF เป็นวิธีที่จะไปที่นี่ ตัวอย่างด่วนวิธีรวมเข้ากับ config ที่แนะนำ:

ip vrf VLAN1
  rd 42:1
ip vrf VLAN2
  rd 42:2
!
int vlan1
  ip vrf forwarding VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  ip vrf forwading VLAN2
  ip address 2.2.2.2 255.255.255.0
!

ตอนนี้การแยกเส้นทาง vlan1 และ vlan2

ในการตรวจสอบตารางเส้นทาง, ping, traceroute คุณต้องระบุ vrf เช่น:

  • ip route vrf VLAN1
  • traceroute vrf VLAN2 192.0.2.1
  • ping vrf VLAN2 192.0.2.1

หรือเหมือนกันใน AFI ใหม่ที่ทราบ IPv6 รองรับการกำหนดค่า:

vrf definition VLAN1
  rd 42:1
  address-family ipv4
vrf definition VLAN2
  rd 42:2
  address-family ipv4
!
int vlan1
  vrf definition VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  vrf definition VLAN2
  ip address 2.2.2.2 255.255.255.0
!
ytti
แหล่งที่มา
9

ในขณะที่ ACL เป็นวิธีที่ง่ายและปลอดภัย แต่ก็ไม่ได้ปรับขนาดได้อย่างแน่นอน

หากเราเตอร์ของคุณมี VRF หรืออย่างน้อยที่สุดคุณสมบัติ VRF Lite คุณสามารถจัดกลุ่ม VLANs เป็น VRF VRFสามารถมองเห็นได้เช่นเราเตอร์เสมือนกรณี VRF ไม่สามารถพูดคุยกับแต่ละอื่น ๆ จนกว่าคุณจะ explicitely กำหนดเส้นทางระหว่างพวกเขา

ในเครือข่ายที่ซับซ้อนฉันจัดกลุ่ม VLAN ในหลายโดเมนความปลอดภัยที่ทำกับ VRF เช่น VRF สำหรับลูกค้าสำนักงานและเซิร์ฟเวอร์ VRF สำหรับอุปกรณ์เทคโนโลยี (การควบคุมการเข้าถึงประตูลิฟต์กล้องวงจรปิด ... ) VRF สำหรับแขกและ ผู้เข้าชม

สเตฟาน
แหล่งที่มา
2

หากคุณต้องการปิดการใช้เส้นทางระหว่าง VLAN ใด ๆ เพียงแค่ใช้:

 Switch(config)# no ip routing

คุณจะต้องใช้อุปกรณ์ L3 อื่น (เราเตอร์สวิตช์หลายเลเยอร์) เพื่อกำหนดเส้นทางระหว่าง VLAN บางตัว

Nyquist
แหล่งที่มา
ฉันสมมติว่าเขายังต้องการบาง vlans เพื่อสื่อสารกับคนอื่น การปิดใช้งานการกำหนดเส้นทาง kinda ท้าทายจุดของการมีเราเตอร์ในสถานที่แรกเขาก็สามารถติดกับสวิตช์ L2 ของเขาที่ VLANs จะถูกแยกออกแล้ว
Stefan Radovanovici
2
ทรู แต่แล้วอีกครั้งมันเป็นเรื่องดีที่จะรู้ว่ามีตัวเลือก :)
Nyquist
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.