在企業網絡裡,遇到需要做vlan間三層隔離的時候,我們一般用ACL來實現,但是這樣有一個缺點,就是ACL不夠靈活,要麼雙向全隔離,要麼單向隔離。
在業務網段很多的情況下,往往每個業務網段訪問服務器網段的權限不同,ACL就顯得力不從心。並且,這種訪問權限的控制不是三層交換機的強項,我們應該把它交給防火牆來做。
但是,如果要讓多個網段之間的互訪,經過防火牆,那就必須有多臺三層交換機或者路由器來作為網關。有10個業務網段,就要10臺三層交換機來作為網關,不僅增加成本,也使得網絡拓撲更復雜,不利於維護。
我就是遇到了這種難題:
我司桌面雲一個網段,銷售研發財務各自一個網段;打印機、TC一個網段;語音又是一個網段……。
訪問權限也很複雜:
原則上所有網段要隔離。但是所有內網業務網段(除了來賓)要可以訪問打印機;TC又要可以訪問桌面雲服務器和虛擬機某些端口;IP話機要可以訪問話單服務器和SIP服務器等等。
如果全部用ACL來寫,那天天就什麼也不用幹,研究維護ACL就行了。
所以,就試了下常用於MPLS VPN網絡的vrf,虛擬路由轉發;也就是vpn-instance,VPN實例,如獲至寶!
vrf可以把一臺三層交換機\\路由器當作兩臺來使用,每個vpn實例之間不互通,擁有自己獨立的路由表和地址空間,同一臺設備裡的vpn實例,經過外界才能進行通信。這正好符合我的需求。
如下圖,可以把IT部、綜合部、服務器的網關設置在同一臺三層交換機上,分別綁定到3個vpn實例。默認情況下,3個網段無法通信,當每個vpn實例與防火牆或者其它設備之間3層互通,vlan間才可以實現互相通信,並且訪問權限可以在防火牆上根據安全區域、原目IP、協議、服務等精細控制。比如IT部可以訪問所有網段,但綜合部只能訪問DNS服務器和ERP服務器的指定服務,服務器網段無法訪問其它業務網段。
簡化拓撲
但是vrf不是所有三層交換機都支持,並且有的型號,支持有數量限制。
以上,是我分享給大家的內容,特別是一些和我當時有著同樣困擾的人,大神請無視!如果閱讀人數多,需要詳細配置的方法,請留言,我會滿足大家要求。
閱讀更多 然誠如 的文章
