सिस्को: सिस्को राउटर (ACL वैकल्पिक) पर प्रत्येक अभिभावक के साथ संवाद करने की vlan को रोकना

10

सेटअप: इस पर कई वीएलएएन के कॉन्फ़िगर के साथ सिस्को राउटर।

आप प्रत्येक वीएलएन के साथ 2 वीएलएएन के संचार को कैसे रोक सकते हैं? आम तौर पर मैं एसीएल के साथ ऐसा करूंगा:

access-list 102 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
access-list 102 deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

int vlan 1
ip address 1.1.1.1 255.255.255.0
access-group 102 in

int vlan 2
ip address 2.2.2.2 255.255.255.0
access-group 102 in

हालांकि यह बहुत आसान नहीं है जब एक रूटर पर वीएलएएन के बहुत से कॉन्फ़िगर के साथ काम करना। इसे बढ़ाने या स्केलेबिलिटी में सुधार के लिए किसी विकल्प का उपयोग करने का कोई सुझाव?

cisco  routing  security  acl  cisco-commands 
Bulki
स्रोत

जवाबों:

14

स्टीफन के साथ पूरी तरह से सहमत हैं। वीआरएफ यहां जाने का रास्ता है। सुझाए गए कॉन्फ़िगरेशन में इसे शामिल करने का त्वरित उदाहरण:

ip vrf VLAN1
  rd 42:1
ip vrf VLAN2
  rd 42:2
!
int vlan1
  ip vrf forwarding VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  ip vrf forwading VLAN2
  ip address 2.2.2.2 255.255.255.0
!

अब vlan1 और vlan2 रूटिंग को अलग कर दिया गया है।

रूटिंग टेबल, पिंग, ट्रेसरआउट का निरीक्षण करने के लिए आपको vrf को निर्दिष्ट करना होगा। उदाहरण के लिए:

  • आईपी ​​मार्ग vrf VLAN1
  • traceroute vrf VLAN2 192.0.2.1
  • पिंग vrf VLAN2 192.0.2.1

या नए AFI के बारे में पता है, IPv6 समर्थन कॉन्फिग:

vrf definition VLAN1
  rd 42:1
  address-family ipv4
vrf definition VLAN2
  rd 42:2
  address-family ipv4
!
int vlan1
  vrf definition VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  vrf definition VLAN2
  ip address 2.2.2.2 255.255.255.0
!
ytti
स्रोत
9

हालांकि ACL एक सरल और सुरक्षित तरीका है, यह वास्तव में अच्छी तरह से पैमाने पर नहीं है।

यदि आपका राउटर वीआरएफ या कम से कम वीआरएफ लाइट सुविधा प्रदान करता है तो आप वीएलएफ को वीआरएफ में समूहित कर सकते हैं। एक VRF एक आभासी रूटर की तरह देखा जा सकता है, VRF उदाहरणों एक दूसरे से बात नहीं कर सकते जब तक आप स्पष्ट रूप उन दोनों के बीच मार्ग परिभाषित करते हैं।

एक जटिल नेटवर्क में, मैं वीएलएफ के साथ कई सुरक्षा डोमेन में वीएलएएन का समूह बनाता हूं, जैसे कि ऑफिस क्लाइंट और सर्वर के लिए वीआरएफ, तकनीकी उपकरणों के लिए वीआरएफ (डोर एक्सेस कंट्रोल, लिफ्ट, सीसीटीवी, ...), मेहमानों के लिए एक वीआरएफ। आगंतुकों।

स्टीफन
स्रोत
2

यदि आप किसी वीएलएएन के बीच रूटिंग को निष्क्रिय करना चाहते हैं, तो बस उपयोग करें:

 Switch(config)# no ip routing

आपको कुछ VLAN के बीच रूट करने के लिए एक और L3 डिवाइस (राउटर, मल्टी-लेयर स्विच) की आवश्यकता होगी।

Nyquist
स्रोत
मुझे लगता है कि वह अभी भी कुछ vlans एक दूसरे के साथ संवाद करने के लिए चाहता है। रूटिंग थोड़े को अक्षम करने से पहली जगह में एक राउटर होने की बात को गलत ठहराया जाता है, वह सिर्फ अपने एल 2 स्विच के साथ छड़ी कर सकता है जहां वीएलएएन पहले से ही अलग हैं।
स्टीफन रैडोवनोविसी
2
सच है, लेकिन फिर, यह जानना अच्छा है कि एक विकल्प है :)
Nyquist
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.