Cisco : VLAN이 Cisco 라우터 (ACL 대안)에서 서로 통신하지 못하도록 방지


10

설정 : 여러 VLAN이 구성된 Cisco 라우터.

2 VLAN이 서로 통신하는 것을 어떻게 방지 할 수 있습니까? 일반적으로 다음과 같이 ACL 로이 작업을 수행합니다.

access-list 102 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
access-list 102 deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

int vlan 1
ip address 1.1.1.1 255.255.255.0
access-group 102 in

int vlan 2
ip address 2.2.2.2 255.255.255.0
access-group 102 in

그러나 이것은 라우터에 구성된 많은 VLAN을 처리 할 때 유용하지 않습니다. 이것을 조정하거나 확장 성을 향상시키기 위해 대안을 사용하는 제안이 있습니까?

답변:


14

Stefan과 완전히 동의했습니다. VRF가 여기에가는 길입니다. 제안 된 구성에 통합하는 방법에 대한 간단한 예 :

ip vrf VLAN1
  rd 42:1
ip vrf VLAN2
  rd 42:2
!
int vlan1
  ip vrf forwarding VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  ip vrf forwading VLAN2
  ip address 2.2.2.2 255.255.255.0
!

이제 vlan1과 vlan2 라우팅이 분리되었습니다.

라우팅 테이블, ping, traceroute를 검사하려면 vrf를 지정해야합니다. 예 :

  • IP 경로 vrf VLAN1
  • traceroute vrf VLAN2 192.0.2.1
  • ping vrf VLAN2 192.0.2.1

또는 구성을 지원하는 IPv6를 지원하는 새로운 AFI 인식에서도 마찬가지입니다.

vrf definition VLAN1
  rd 42:1
  address-family ipv4
vrf definition VLAN2
  rd 42:2
  address-family ipv4
!
int vlan1
  vrf definition VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  vrf definition VLAN2
  ip address 2.2.2.2 255.255.255.0
!

9

ACL은 간단하고 안전한 방법이지만 실제로는 잘 확장되지 않습니다.

라우터가 VRF를 제공하거나 최소한 VRF Lite 기능을 제공하는 경우 VLAN을 VRF로 그룹화 할 수 있습니다. VRF가 가상 라우터처럼 볼 수있는, VRF 인스턴스는 사용자가 명시 적으로 그들 사이의 라우팅을 정의하지 않는 한 서로 대화 할 수 없다.

복잡한 네트워크에서는 사무실 클라이언트 및 서버용 VRF, 기술 장치 용 VRF (문 액세스 제어, 리프트, cctv 등), 게스트 용 VRF 및 VRF와 같이 VRF로 수행되는 여러 보안 도메인으로 VLAN을 그룹화합니다. 방문자.


2

VLAN 간 라우팅을 비활성화하려면 다음을 사용하십시오.

 Switch(config)# no ip routing

일부 VLAN간에 라우팅하려면 다른 L3 장치 (라우터, 멀티 레이어 스위치)가 필요합니다.


나는 그가 여전히 특정 vlan이 서로 통신하기를 원한다고 가정합니다. 라우팅을 비활성화하면 라우터가 처음에 있다는 점을 무시하고 VLAN이 이미 분리 된 L2 스위치를 사용할 수 있습니다.
Stefan Radovanovici 2016 년

2
사실이지만 다시 한 번, 옵션이 있다는 것을 아는 것이 좋습니다 :)
Nyquist
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.