설정 : 여러 VLAN이 구성된 Cisco 라우터.
2 VLAN이 서로 통신하는 것을 어떻게 방지 할 수 있습니까? 일반적으로 다음과 같이 ACL 로이 작업을 수행합니다.
access-list 102 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
access-list 102 deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
int vlan 1
ip address 1.1.1.1 255.255.255.0
access-group 102 in
int vlan 2
ip address 2.2.2.2 255.255.255.0
access-group 102 in
그러나 이것은 라우터에 구성된 많은 VLAN을 처리 할 때 유용하지 않습니다. 이것을 조정하거나 확장 성을 향상시키기 위해 대안을 사용하는 제안이 있습니까?
답변:
Stefan과 완전히 동의했습니다. VRF가 여기에가는 길입니다. 제안 된 구성에 통합하는 방법에 대한 간단한 예 :
ip vrf VLAN1
rd 42:1
ip vrf VLAN2
rd 42:2
!
int vlan1
ip vrf forwarding VLAN1
ip address 1.1.1.1 255.255.255.0
int vlan2
ip vrf forwading VLAN2
ip address 2.2.2.2 255.255.255.0
!
이제 vlan1과 vlan2 라우팅이 분리되었습니다.
라우팅 테이블, ping, traceroute를 검사하려면 vrf를 지정해야합니다. 예 :
또는 구성을 지원하는 IPv6를 지원하는 새로운 AFI 인식에서도 마찬가지입니다.
vrf definition VLAN1
rd 42:1
address-family ipv4
vrf definition VLAN2
rd 42:2
address-family ipv4
!
int vlan1
vrf definition VLAN1
ip address 1.1.1.1 255.255.255.0
int vlan2
vrf definition VLAN2
ip address 2.2.2.2 255.255.255.0
!
ACL은 간단하고 안전한 방법이지만 실제로는 잘 확장되지 않습니다.
라우터가 VRF를 제공하거나 최소한 VRF Lite 기능을 제공하는 경우 VLAN을 VRF로 그룹화 할 수 있습니다. VRF가 가상 라우터처럼 볼 수있는, VRF 인스턴스는 사용자가 명시 적으로 그들 사이의 라우팅을 정의하지 않는 한 서로 대화 할 수 없다.
복잡한 네트워크에서는 사무실 클라이언트 및 서버용 VRF, 기술 장치 용 VRF (문 액세스 제어, 리프트, cctv 등), 게스트 용 VRF 및 VRF와 같이 VRF로 수행되는 여러 보안 도메인으로 VLAN을 그룹화합니다. 방문자.
VLAN 간 라우팅을 비활성화하려면 다음을 사용하십시오.
Switch(config)# no ip routing
일부 VLAN간에 라우팅하려면 다른 L3 장치 (라우터, 멀티 레이어 스위치)가 필요합니다.