中年プログラマーの息抜き

カシマルです。 最近、新しい土地へ引っ越しをしたのですが、これを機に何か始めたいなと思ってブログをはじめました。気の向くままに更新していきます。

CISCO 841M 設定:その13:L3スイッチでVLAN 間のルーティングをフィルタする

f:id:tm-b:20170728004131j:plain

はじめに

L3スイッチが4ポートあり、それぞれVLAN1, VLAN2, VLAN3, VLAN4で分離したとしても、ルーティング機能により、VLAN2⇔VLAN3などVLANをまたいだ通信が可能です。(ノードからping を打つと届きます。)今回は例として、VLAN2⇔VLAN3をフィルタし通信を出来なくなるようなACLを考えてみました。(ノードからping が届かなくなります。)

VLAN2は「192.168.20.0/24」、VLAN3は「192.168.30.0/24」とします。

機材

CISCO 841M本体
・KAUMO USB RJ45 シリアルコンソールケーブル
・Win10 ノートPC

VLAN内でのフィルタイメージ

VLAN内で機能するACLを設置し、VLAN内で発生する通信がACLのIN側から入りフィルタを通過したものだけが外に出られると考えます・・・
※ここでフィルタしたいと思います。

VLAN2 ( ⇒ ) ルーティング ⇒ VLAN3ノード
 → (ACL120-in) ↑

VLAN3 ( ⇒ ) ルーティング ⇒ VLAN2ノード
 → (ACL130-in) ↑

設定の流れ

・VLAN2のACLグループ(120)を作成、設定する

・VLAN3のACLグループ(130)を作成、設定する

ACLグループ(120)

no access-list 120
access-list 120 deny ip any 192.168.30.0 0.0.0.255
access-list 120 permit ip any any
interface Vlan2
  ip access-group 120 in
  exit

ACLグループ(130)

no access-list 130
access-list 130 deny ip any 192.168.20.0 0.0.0.255
access-list 130 permit ip any any
interface Vlan3
  ip access-group 130 in
  exit

まとめ

in と out のイメージがつかみにくかったですが、VLAN内のACLということで考えをまとめ、整理しました。ネットワーク単位ではなくノード単位で細かく設定する場合は特にだと思いますが、いろいろな可能性を考えると、VLANで設定しておくほうが人にやさしいのかなと…

d(`Д´)b39