中年プログラマーの息抜き

ブログをはじめました。気の向くままにプログラム関連ネタをメモしていきます。

CISCO 841M 設定:その13:L3スイッチでVLAN 間のルーティングをフィルタする

f:id:tm-b:20170728004131j:plain

はじめに

L3スイッチが4ポートあり、それぞれVLAN1, VLAN2, VLAN3, VLAN4で分離したとしても、ルーティング機能により、VLAN2⇔VLAN3などVLANをまたいだ通信が可能です。(ノードからping を打つと届きます。)今回は例として、VLAN2⇔VLAN3をフィルタし通信を出来なくなるようなACLを考えてみました。(ノードからping が届かなくなります。)

VLAN2は「192.168.20.0/24」、VLAN3は「192.168.30.0/24」とします。

機材

CISCO 841M本体
・KAUMO USB RJ45 シリアルコンソールケーブル
・Win10 ノートPC

VLAN内でのフィルタイメージ

・VLAN2のACLグループ(120)を作成、設定する

・VLAN3のACLグループ(130)を作成、設定する

ACLグループ(120)

no access-list 120
access-list 120 deny ip any 192.168.30.0 0.0.0.255
access-list 120 permit ip any any
interface Vlan2
  ip access-group 120 in
  exit

ACLグループ(130)

no access-list 130
access-list 130 deny ip any 192.168.20.0 0.0.0.255
access-list 130 permit ip any any
interface Vlan3
  ip access-group 130 in
  exit

まとめ

in と out のイメージがつかみにくかったですが、VLAN内のACLということで考えをまとめ、整理しました。ネットワーク単位ではなくノード単位で細かく設定する場合は特にだと思いますが、いろいろな可能性を考えると、VLANで設定しておくほうが人にやさしいのかなと…