思科：防止VLAN在Cisco路由器上相互通信（ACL替代）

设置：在其上配置了多个VLAN的Cisco路由器。

如何防止2个VLAN之间相互通信？通常，我会这样使用ACL：

access-list 102 deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
access-list 102 deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255

int vlan 1
ip address 1.1.1.1 255.255.255.0
access-group 102 in

int vlan 2
ip address 2.2.2.2 255.255.255.0
access-group 102 in

但是，这在处理路由器上配置的大量VLAN时并不方便。有什么建议可以对此进行调整或使用替代方法来提高可伸缩性？

完全同意斯特凡。VRF是前往此处的方法。快速示例如何将其合并到建议的配置中：

ip vrf VLAN1
  rd 42:1
ip vrf VLAN2
  rd 42:2
!
int vlan1
  ip vrf forwarding VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  ip vrf forwading VLAN2
  ip address 2.2.2.2 255.255.255.0
!

现在，vlan1和vlan2路由已分离。

要检查路由表，ping，traceroute，您需要指定vrf。例如：

• ip route vrf VLAN1
• traceroute vrf VLAN2 192.0.2.1
• ping vrf VLAN2 192.0.2.1

或与新的支持AFI的IPv6支持配置相同：

vrf definition VLAN1
  rd 42:1
  address-family ipv4
vrf definition VLAN2
  rd 42:2
  address-family ipv4
!
int vlan1
  vrf definition VLAN1
  ip address 1.1.1.1 255.255.255.0
int vlan2
  vrf definition VLAN2
  ip address 2.2.2.2 255.255.255.0
!

虽然ACL是一种简单且安全的方法，但确实无法很好地扩展。

如果您的路由器提供VRF或至少提供VRF Lite功能，则可以将VLAN分组为VRF。一个VRF可以看到像一个虚拟路由器，VRF实例不能互相交谈，除非你明确的定义它们之间的路由。

在复杂的网络中，我将VLAN划分为使用VRF完成的几个安全域，例如用于办公室客户端和服务器的VRF，用于技术设备（门禁，电梯，cctv等）的VRF，用于来宾和服务器的VRF。访客。

如果要禁用任何VLAN之间的路由，请使用：

 Switch(config)# no ip routing

您将需要另一个L3设备（路由器，多层交换机）在某些VLAN之间进行路由。