Cisco: evite que los vlan se comuniquen entre sí en el enrutador Cisco (alternativa de ACL)

10

Configuración: enrutador Cisco con varias VLAN configuradas.

¿Cómo puede evitar que 2 VLAN se comuniquen entre sí? Normalmente haría esto con ACL como este:

access-list 102 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
access-list 102 deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

int vlan 1
ip address 1.1.1.1 255.255.255.0
access-group 102 in

int vlan 2
ip address 2.2.2.2 255.255.255.0
access-group 102 in

Sin embargo, esto no es útil cuando se trata de muchas VLAN configuradas en un enrutador. ¿Alguna sugerencia de ajustar esto o usar una alternativa para mejorar la escalabilidad?

Bulki
fuente

Respuestas:

14

Totalmente de acuerdo con Stefan. VRF es el camino a seguir aquí. Ejemplo rápido de cómo incorporarlo a la configuración sugerida:

ip vrf VLAN1
  rd 42:1
ip vrf VLAN2
  rd 42:2
!
int vlan1
  ip vrf forwarding VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  ip vrf forwading VLAN2
  ip address 2.2.2.2 255.255.255.0
!

Ahora el enrutamiento vlan1 y vlan2 está separado.

Para inspeccionar las tablas de enrutamiento, ping, traceroute, debe especificar el vrf. p.ej:

  • ruta IP vrf VLAN1
  • traceroute vrf VLAN2 192.0.2.1
  • ping vrf VLAN2 192.0.2.1

O lo mismo en AFI nuevo, IPv6 que admite la configuración:

vrf definition VLAN1
  rd 42:1
  address-family ipv4
vrf definition VLAN2
  rd 42:2
  address-family ipv4
!
int vlan1
  vrf definition VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  vrf definition VLAN2
  ip address 2.2.2.2 255.255.255.0
!
ytti
fuente
9

Si bien las ACL son una forma simple y segura, en realidad no escala bien.

Si su enrutador proporciona VRF o al menos la función VRF Lite, podría agrupar las VLAN en VRF. Un VRF puede verse como un enrutador virtual, las instancias de VRF no pueden comunicarse entre sí a menos que defina explícitamente el enrutamiento entre ellas.

En una red compleja, agrupo las VLAN en varios dominios de seguridad hechos con VRF, como un VRF para clientes y servidores de oficina, un VRF para dispositivos tecnológicos (control de acceso de puertas, ascensores, cctv, ...), un VRF para invitados y visitantes

Stefan
fuente
2

Si desea deshabilitar el enrutamiento entre cualquier VLAN, simplemente use:

 Switch(config)# no ip routing

Necesitará otro dispositivo L3 (enrutador, conmutador multicapa) para enrutar entre algunas VLAN.

Nyquist
fuente
Supongo que todavía quiere que ciertos vlans se comuniquen entre sí. Deshabilitar el enrutamiento desafía el punto de tener un enrutador en primer lugar, podría quedarse con su conmutador L2 donde las VLAN ya están separadas.
Stefan Radovanovici
2
Es cierto, pero de nuevo, es bueno saber que hay una opción :)
Nyquist