设置:在其上配置了多个VLAN的Cisco路由器。

如何防止2个VLAN相互通信?通常,我会使用如下ACL来执行此操作:有任何建议对此进行调整或使用替代方法来提高可伸缩性吗?

#1 楼

完全同意斯特凡。 VRF是前往此处的方法。快速示例如何将其合并到建议的配置中:

ip vrf VLAN1
  rd 42:1
ip vrf VLAN2
  rd 42:2
!
int vlan1
  ip vrf forwarding VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  ip vrf forwading VLAN2
  ip address 2.2.2.2 255.255.255.0
!


现在vlan1和vlan2路由已分离。

要检查路由表,请ping,使用traceroute需要指定vrf。例如:


ip route vrf VLAN1
traceroute vrf VLAN2 192.0.2.1
ping vrf VLAN2 192.0.2.1

或与新的相同支持AFI且支持IPv6的配置:

vrf definition VLAN1
  rd 42:1
  address-family ipv4
vrf definition VLAN2
  rd 42:2
  address-family ipv4
!
int vlan1
  vrf definition VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  vrf definition VLAN2
  ip address 2.2.2.2 255.255.255.0
!


#2 楼

虽然ACL是一种简单且安全的方法,但确实无法很好地扩展。可以将VRF视为虚拟路由器,除非明确定义它们之间的路由,否则VRF实例之间无法相互通信。作为用于办公室客户和服务器的VRF,用于技术设备(门禁,电梯,cctv等)的VRF,用于来宾和访客的VRF。

#3 楼

如果要禁用任何VLAN之间的路由,只需使用:

 Switch(config)# no ip routing


您将需要另一个L3设备(路由器,多层交换机)在某些VLAN之间进行路由。

评论


我假设他仍然希望某些战队互相交流。禁用路由有点无视一台路由器的意义,他可以坚持使用已经分离了VLAN的L2交换机。

– Stefan Radovanovici
13年5月23日在10:22

是的,但是再说一遍,很高兴知道有一个选择:)

–奈奎斯特
13年5月23日在11:01