Cisco: Verhindern Sie, dass VLANs über einen Cisco-Router miteinander kommunizieren (ACL-Alternative).

10

Setup: Cisco-Router mit mehreren konfigurierten VLANs.

Wie können Sie verhindern, dass zwei VLANs miteinander kommunizieren? Normalerweise würde ich das mit ACLs wie diesen machen:

access-list 102 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
access-list 102 deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

int vlan 1
ip address 1.1.1.1 255.255.255.0
access-group 102 in

int vlan 2
ip address 2.2.2.2 255.255.255.0
access-group 102 in

Dies ist jedoch nicht praktisch, wenn Sie mit vielen VLANs arbeiten, die auf einem Router konfiguriert sind. Irgendwelche Vorschläge, dies zu optimieren oder eine Alternative zur Verbesserung der Skalierbarkeit zu verwenden?

cisco routing security acl cisco-commands Bulki
quelle

Antworten:

14

Völlig einverstanden mit Stefan. VRF ist der Weg hierher. Kurzes Beispiel, wie man es in die vorgeschlagene Konfiguration einbindet:

ip vrf VLAN1
  rd 42:1
ip vrf VLAN2
  rd 42:2
!
int vlan1
  ip vrf forwarding VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  ip vrf forwading VLAN2
  ip address 2.2.2.2 255.255.255.0
!

Jetzt ist das Routing von vlan1 und vlan2 getrennt.

Um Routing-Tabellen, Ping und Traceroute zu überprüfen, müssen Sie die vrf angeben. z.B:

  • IP-Route vrf VLAN1
  • traceroute vrf VLAN2 192.0.2.1
  • ping vrf VLAN2 192.0.2.1

Oder dasselbe in neuen AFI-fähigen, IPv6-unterstützenden Konfigurationen:

vrf definition VLAN1
  rd 42:1
  address-family ipv4
vrf definition VLAN2
  rd 42:2
  address-family ipv4
!
int vlan1
  vrf definition VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  vrf definition VLAN2
  ip address 2.2.2.2 255.255.255.0
!
ytti
quelle
9

ACLs sind zwar ein einfacher und sicherer Weg, lassen sich jedoch nicht gut skalieren.

Wenn Ihr Router VRF oder zumindest die VRF Lite-Funktion bereitstellt, können Sie VLANs in VRFs gruppieren. Eine VRF kann wie ein virtueller Router angesehen werden. VRF-Instanzen können nur dann miteinander kommunizieren, wenn Sie das Routing zwischen ihnen explizit definieren.

In einem komplexen Netzwerk gruppiere ich VLANs in mehrere Sicherheitsdomänen, die mit VRFs erstellt wurden, z. B. eine VRF für Office-Clients und -Server, eine VRF für technische Geräte (Türzugangskontrolle, Aufzüge, CCTV, ...), eine VRF für Gäste und Besucher.

Stefan
quelle
2

Wenn Sie das Routing zwischen einem VLAN deaktivieren möchten, verwenden Sie einfach:

 Switch(config)# no ip routing

Sie benötigen ein anderes L3-Gerät (Router, Multi-Layer-Switch), um zwischen einigen VLANs zu routen.

Nyquist
quelle
Ich gehe davon aus, dass er immer noch möchte, dass bestimmte Vlans miteinander kommunizieren. Das Deaktivieren des Routings widerspricht in gewisser Weise dem Sinn eines Routers. Er könnte einfach bei seinem L2-Switch bleiben, bei dem die VLANs bereits getrennt sind.
Stefan Radovanovici
2
Stimmt, aber
Nyquist