Cisco: empêche les VLAN de communiquer entre eux sur le routeur Cisco (alternative ACL)

10

Configuration: routeur Cisco avec plusieurs VLAN configurés dessus.

Comment pouvez-vous empêcher 2 VLAN de communiquer entre eux? Normalement, je le ferais avec des ACL comme ceci:

access-list 102 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
access-list 102 deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

int vlan 1
ip address 1.1.1.1 255.255.255.0
access-group 102 in

int vlan 2
ip address 2.2.2.2 255.255.255.0
access-group 102 in

Cependant, cela n'est pas pratique lorsqu'il s'agit de nombreux VLAN configurés sur un routeur. Avez-vous des suggestions pour modifier cela ou utiliser une alternative pour améliorer l'évolutivité?

Bulki
la source

Réponses:

14

Entièrement d'accord avec Stefan. VRF est le chemin à parcourir ici. Exemple rapide pour l'incorporer à la configuration suggérée:

ip vrf VLAN1
  rd 42:1
ip vrf VLAN2
  rd 42:2
!
int vlan1
  ip vrf forwarding VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  ip vrf forwading VLAN2
  ip address 2.2.2.2 255.255.255.0
!

Le routage vlan1 et vlan2 est maintenant séparé.

Pour inspecter les tables de routage, ping, traceroute, vous devez spécifier le vrf. par exemple:

  • ip route vrf VLAN1
  • traceroute vrf VLAN2 192.0.2.1
  • ping vrf VLAN2 192.0.2.1

Ou même dans la nouvelle configuration compatible AFI, prenant en charge IPv6:

vrf definition VLAN1
  rd 42:1
  address-family ipv4
vrf definition VLAN2
  rd 42:2
  address-family ipv4
!
int vlan1
  vrf definition VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  vrf definition VLAN2
  ip address 2.2.2.2 255.255.255.0
!
ytti
la source
9

Bien que les listes de contrôle d'accès soient un moyen simple et sûr, elles ne évoluent pas bien en effet.

Si votre routeur fournit VRF ou au moins la fonctionnalité VRF Lite, vous pouvez regrouper les VLAN en VRF. Un VRF peut être vu comme un routeur virtuel, les instances VRF ne peuvent pas se parler sauf si vous définissez explicitement le routage entre elles.

Dans un réseau complexe, je regroupe les VLAN dans plusieurs domaines de sécurité réalisés avec des VRF, tels qu'un VRF pour les clients et serveurs de bureau, un VRF pour les appareils techniques (contrôle d'accès de porte, ascenseurs, vidéosurveillance, ...), un VRF pour les invités et visiteurs.

Stefan
la source
2

Si vous souhaitez désactiver le routage entre n'importe quel VLAN, utilisez simplement:

 Switch(config)# no ip routing

Vous aurez besoin d'un autre appareil L3 (routeur, commutateur multicouche) pour router entre certains VLAN.

Nyquist
la source
Je suppose qu'il veut toujours que certains VLAN communiquent entre eux. Désactiver le routage défie un peu le point d'avoir un routeur en premier lieu, il pourrait simplement s'en tenir à son commutateur L2 où les VLAN sont déjà séparés.
Stefan Radovanovici
2
C'est vrai, mais là encore, il est bon de savoir qu'il y a une option :)
Nyquist