セットアップ:複数のVLANが構成されたCiscoルーター。
2つのVLANが互いに通信するのをどのように防ぐことができますか?通常、これは次のようなACLで行います。
access-list 102 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
access-list 102 deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
int vlan 1
ip address 1.1.1.1 255.255.255.0
access-group 102 in
int vlan 2
ip address 2.2.2.2 255.255.255.0
access-group 102 in
ただし、これはルーター上に構成された多くのVLANを処理する場合には便利ではありません。これを微調整したり、スケーラビリティを改善するための代替手段を使用したりする提案はありますか?
回答:
ステファンに完全に同意しました。VRFはここに行く方法です。推奨される構成に組み込む方法の簡単な例:
ip vrf VLAN1
rd 42:1
ip vrf VLAN2
rd 42:2
!
int vlan1
ip vrf forwarding VLAN1
ip address 1.1.1.1 255.255.255.0
int vlan2
ip vrf forwading VLAN2
ip address 2.2.2.2 255.255.255.0
!
vlan1とvlan2のルーティングが分離されました。
ルーティングテーブル、ping、tracerouteを検査するには、vrfを指定する必要があります。例えば:
または、新しいAFI対応のIPv6対応の構成でも同じです。
vrf definition VLAN1
rd 42:1
address-family ipv4
vrf definition VLAN2
rd 42:2
address-family ipv4
!
int vlan1
vrf definition VLAN1
ip address 1.1.1.1 255.255.255.0
int vlan2
vrf definition VLAN2
ip address 2.2.2.2 255.255.255.0
!
ACLはシンプルで安全な方法ですが、実際には十分に拡張できません。
ルータがVRFまたは少なくともVRF Lite機能を提供している場合、VLANをVRFにグループ化できます。A VRFは仮想ルータのように見ることができ、VRFインスタンスを使用すると、明示的にそれらの間のルーティングを定義しない限り、お互いに話をすることはできません。
複雑なネットワークでは、オフィスクライアントとサーバー用のVRF、技術デバイス用のVRF(ドアアクセスコントロール、リフト、cctvなど)、ゲスト用のVRFなどのVRFで実行されるいくつかのセキュリティドメインにVLANをグループ化します。訪問者。
VLAN間のルーティングを無効にするには、次のコマンドを使用します。
Switch(config)# no ip routing
一部のVLAN間でルーティングするには、別のL3デバイス(ルーター、マルチレイヤースイッチ)が必要です。