Cisco: evite que as vlan se comuniquem no roteador cisco (alternativa ACL)

10

Instalação: roteador Cisco com várias VLANs configuradas.

Como você pode impedir que 2 VLANs se comuniquem? Normalmente, eu faria isso com ACLs como este:

access-list 102 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
access-list 102 deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

int vlan 1
ip address 1.1.1.1 255.255.255.0
access-group 102 in

int vlan 2
ip address 2.2.2.2 255.255.255.0
access-group 102 in

No entanto, isso não é útil ao lidar com muitas VLANs configuradas em um roteador. Alguma sugestão de ajustar isso ou usar uma alternativa para melhorar a escalabilidade?

cisco routing security acl cisco-commands Bulki
fonte

Respostas:

14

Concordo plenamente com Stefan. VRF é o caminho a percorrer aqui. Exemplo rápido de como incorporá-lo à configuração sugerida:

ip vrf VLAN1
  rd 42:1
ip vrf VLAN2
  rd 42:2
!
int vlan1
  ip vrf forwarding VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  ip vrf forwading VLAN2
  ip address 2.2.2.2 255.255.255.0
!

Agora o roteamento vlan1 e vlan2 está separado.

Para inspecionar tabelas de roteamento, ping, traceroute, você precisa especificar o vrf. por exemplo:

  • rota ip vrf VLAN1
  • traceroute vrf VLAN2 192.0.2.1
  • ping vrf VLAN2 192.0.2.1

Ou o mesmo no novo AFI ciente, configuração de suporte a IPv6:

vrf definition VLAN1
  rd 42:1
  address-family ipv4
vrf definition VLAN2
  rd 42:2
  address-family ipv4
!
int vlan1
  vrf definition VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  vrf definition VLAN2
  ip address 2.2.2.2 255.255.255.0
!
ytti
fonte
9

Embora as ACLs sejam uma maneira simples e segura, ela não é bem dimensionada.

Se o seu roteador fornecer VRF ou pelo menos o recurso VRF Lite, você poderá agrupar VLANs em VRFs. Uma VRF pode ser vista como um roteador virtual, as instâncias de VRF não podem se comunicar a menos que você defina explicitamente o roteamento entre elas.

Em uma rede complexa, agrupo VLANs em vários domínios de segurança feitos com VRFs, como um VRF para clientes e servidores de escritório, um VRF para dispositivos de tecnologia (controle de acesso a porta, elevadores, CFTV, ...), um VRF para convidados e visitantes.

Stefan
fonte
2

Se você deseja desativar o roteamento entre qualquer VLAN, basta usar:

 Switch(config)# no ip routing

Você precisará de outro dispositivo L3 (roteador, switch de várias camadas) para rotear entre algumas VLANs.

Nyquist
fonte
Estou assumindo que ele ainda quer que certas vlans se comuniquem. Desabilitar o roteamento meio que desafia o ponto de ter um roteador em primeiro lugar, ele pode simplesmente ficar com seu switch L2, onde as VLANs já estão separadas.
Stefan Radovanovici
2
É verdade, mas, novamente, é bom saber que há uma opção :)
Nyquist