如何防止2个VLAN相互通信?通常,我会使用如下ACL来执行此操作:有任何建议对此进行调整或使用替代方法来提高可伸缩性吗?
#1 楼
完全同意斯特凡。 VRF是前往此处的方法。快速示例如何将其合并到建议的配置中:ip vrf VLAN1
rd 42:1
ip vrf VLAN2
rd 42:2
!
int vlan1
ip vrf forwarding VLAN1
ip address 1.1.1.1 255.255.255.0
int vlan2
ip vrf forwading VLAN2
ip address 2.2.2.2 255.255.255.0
!
现在vlan1和vlan2路由已分离。
要检查路由表,请ping,使用traceroute需要指定vrf。例如:
ip route vrf VLAN1
traceroute vrf VLAN2 192.0.2.1
ping vrf VLAN2 192.0.2.1
或与新的相同支持AFI且支持IPv6的配置:
vrf definition VLAN1
rd 42:1
address-family ipv4
vrf definition VLAN2
rd 42:2
address-family ipv4
!
int vlan1
vrf definition VLAN1
ip address 1.1.1.1 255.255.255.0
int vlan2
vrf definition VLAN2
ip address 2.2.2.2 255.255.255.0
!
#2 楼
虽然ACL是一种简单且安全的方法,但确实无法很好地扩展。可以将VRF视为虚拟路由器,除非明确定义它们之间的路由,否则VRF实例之间无法相互通信。作为用于办公室客户和服务器的VRF,用于技术设备(门禁,电梯,cctv等)的VRF,用于来宾和访客的VRF。#3 楼
如果要禁用任何VLAN之间的路由,只需使用: Switch(config)# no ip routing
您将需要另一个L3设备(路由器,多层交换机)在某些VLAN之间进行路由。
评论
我假设他仍然希望某些战队互相交流。禁用路由有点无视一台路由器的意义,他可以坚持使用已经分离了VLAN的L2交换机。
– Stefan Radovanovici
13年5月23日在10:22
是的,但是再说一遍,很高兴知道有一个选择:)
–奈奎斯特
13年5月23日在11:01