web-dev-qa-db-ja.com

VLAN間ルーティング:複数のVLAN。すべてのVLANにアクセスできるのは1つだけです。意味がありますか?

当社のネットワークをセグメント化しようとしています。私の主な目標は、巨大なドメインではなく、多くの小さなブロードキャストドメインを用意することです。そのため、部門ごとに1つのVLAN)を割り当てることを考えました。

ただし、社内のどのデバイスからでもアクセスできる多くのプリンターと一元化されたファイルサーバーがあります。したがって、これらのサービスは別のVLANに属し、L3アドレス指定を介して部門VLANと通信する必要があると思います。

L3 Ciscoスイッチを所有しているため、VLAN間ルーティングが有効な方法のようです。しかし、実験していると、各VLANインターフェイス(したがって、各部門を独自のサブネットに割り当てる)にIPアドレスを割り当てる必要があり、ip routingを許可するとすぐに)に気づきます。 L3スイッチを使用すると、デバイスはプリンタやファイルサーバーだけでなく、他の部門の他のデバイスにもpingを実行できます。

ブロードキャストドメインがサブネット間で同じではないことは知っていますが、これらのVLANが相互に通信できなければ、どういうわけかより安全になると思いました。

そうは言っても、この件に関する私の疑問は次のとおりです。

1)セキュリティのために、これらの部門のVLANは、プリンタ/ファイルのみを表示できるように分離することをお勧めしますVLAN(相互に表示されない) )?

2)もしそうなら、それを行う最良の方法は何ですか?私が考えることができる唯一の実行可能なアプローチはACLを使用することですが、処理するエントリがたくさんあるため、ACLはそれほど実用的ではないようです。

2
user208671

1)セキュリティ要件によって異なります。ユーザーPCがサーバー/プリンターとのみ通信でき、PC間では通信できないことが要件である場合は、はい、必要に応じてトラフィックをブロックするためにインターフェイスVLAN)にACLを設定する必要があります。最も安全なものは何ですか-すべてをうまくブロックしますが、本当に必要なのは最も安全です。

2)これを行うには、ACLを実装し、ACLをインターフェイスVLANに適用するだけです。 PCをサーバー/プリンターに許可しようとしているので、ACLは単純である必要があります...次のようなものです。

サブネットがすべて10.0.0.0で、サーバー/プリンターが10.1.1.0/24にあると仮定します。

permit ip 10.0.0.0 0.255.255.255 10.1.1.0 0.0.0.255
deny ip any any log

これは明らかに単純なバージョンです。目的の正確な結果を得るには、そこから微調整する必要があります。この例では、すべてのVLANで機能する一般的な方法で記述されているため、これをすべてのPC VLANインターフェイスに適用できます。

この別の例は、先週回答した別の質問にあります。 ルーターインターフェイスを分離しておく

1
ETL

これは非常に一般的な状況であり、残念ながら最初の対応は技術的なものではありません。それがあなたの会社のために働くならば、VLAN間ルーティングは問題ありません。はい、セキュリティとパフォーマンスの問題が発生する可能性がありますが、システムをロックダウンした場合に要件を管理するスタッフがいますか?

ネットワークを適切に設計している限り、VLAN間ルーティングを保護し、事後に必要な変更を制限できるはずです。また、おっしゃるように、VLANを保護することで、セキュリティリスクを軽減し、パフォーマンスを向上させ、IPとデバイスを追跡するための制御を導入できるようになります。

0
Jay