Routing

VLAN間路由:多個VLAN,所有人只能訪問一個。說得通?

  • February 22, 2015

我正在嘗試分割我們公司的網路。我的主要目標是擁有許多小型廣播域而不是巨大的廣播域,因此我想為每個部門分配一個 VLAN。

但是,我們有許多列印機和一個集中式文件伺服器,公司內的任何設備都應該可以訪問它們。所以,我想這些服務應該屬於一個單獨的 VLAN,而後者又會通過 L3 定址與部門 VLAN 進行通信。

由於我們擁有一台 L3 Cisco 交換機,因此 VLAN 間路由似乎是一種有效的方式。但是當我在試驗它時,我注意到我必須為每個 VLAN 介面分配一個 IP 地址(從而將每個部門分配到自己的子網中),並且一旦我允許ip routingL3 交換機上,設備不僅可以 ping列印機或文件伺服器,以及任何其他部門的任何其他設備。

我知道一個子網和另一個子網之間的廣播域是不一樣的,但我認為如果這些 VLAN 不能相互通信會更安全。

話雖如此,以下是我對這個問題的懷疑:

**1)**為了安全起見,將那些部門VLAN隔離成只能看到列印機/文件VLAN(彼此看不到)的方式是否更好?

**2)**如果是這樣,最好的方法是什麼?我能想到的唯一可行的方法是使用 ACL,但它們似乎並不實用,因為我需要處理很多條目。

  1. 取決於您的安全要求。如果您的要求是使用者 PC 應該只能與伺服器/列印機進行通信,而不能在 PC 之間進行通信,那麼是的,您應該在介面 VLAN 上設置 ACL 以根據需要阻止流量。什麼是最安全的——很好地阻止一切,但真正需要的是最安全的。

  2. 為此,您只需實現 ACL 並將 ACL 應用於介面 VLAN。由於您試圖允許 PC 訪問伺服器/列印機,因此您的 ACL 應該很簡單……類似於以下內容:

假設您的子網都是 10.0.0.0 並且您的伺服器/列印機在 10.1.1.0/24 中:

permit ip 10.0.0.0 0.255.255.255 10.1.1.0 0.0.0.255
deny ip any any log

這顯然是一個簡單的版本,您需要從那裡進行調整以獲得所需的確切結果。通過此範例,您可以將其應用於您的所有 PC VLAN 介面,因為它是以適用於所有 VLAN 的通用方式編寫的。

您可以在我上週回答的另一個問題中找到另一個範例:保持路由器介面隔離

引用自:https://serverfault.com/questions/574258