设置:配置了多个 VLAN 的 Cisco 路由器。
如何防止 2 个 VLAN 相互通信?通常我会用这样的 ACL 来做到这一点:
access-list 102 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
access-list 102 deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
int vlan 1
ip address 1.1.1.1 255.255.255.0
access-group 102 in
int vlan 2
ip address 2.2.2.2 255.255.255.0
access-group 102 in
然而,这在处理路由器上配置的大量 VLAN 时并不方便。任何调整此或使用替代方法来提高可扩展性的建议?
完全同意斯蒂芬的看法。VRF 是通往这里的方式。快速示例如何将其合并到建议的配置中:
ip vrf VLAN1
rd 42:1
ip vrf VLAN2
rd 42:2
!
int vlan1
ip vrf forwarding VLAN1
ip address 1.1.1.1 255.255.255.0
int vlan2
ip vrf forwading VLAN2
ip address 2.2.2.2 255.255.255.0
!
现在 vlan1 和 vlan2 路由是分开的。
要检查路由表、ping、traceroute,您需要指定 vrf。例如:
或者在新的 AFI 感知中相同,支持 IPv6 的配置:
vrf definition VLAN1
rd 42:1
address-family ipv4
vrf definition VLAN2
rd 42:2
address-family ipv4
!
int vlan1
vrf definition VLAN1
ip address 1.1.1.1 255.255.255.0
int vlan2
vrf definition VLAN2
ip address 2.2.2.2 255.255.255.0
!
虽然 ACL 是一种简单且安全的方法,但它确实不能很好地扩展。
如果您的路由器提供 VRF 或至少提供 VRF Lite 功能,您可以将 VLAN 分组为 VRF。一个VRF可以看到像一个虚拟路由器,VRF实例不能互相交谈,除非你明确的定义它们之间的路由。
在一个复杂的网络中,我将 VLAN 分组到几个使用 VRF 完成的安全域中,例如用于办公室客户端和服务器的 VRF,用于技术设备(门禁控制、电梯、闭路电视等)的 VRF,用于访客和访客。
如果要禁用任何 VLAN 之间的路由,只需使用:
Switch(config)# no ip routing
您将需要另一个 L3 设备(路由器、多层交换机)在某些 VLAN 之间进行路由。