VLAN間ルーティングの問題
L2 スイッチにはルーティング機能が無いため、VLAN 間ルーティングは単体では不可であり、ルータを経由することで可能となります。(ルータ・オン・ア・スティック)
一方、L3 スイッチでは SVI (VLAN インタフェース) に IP アドレスを付与した時点で、デフォルトで VLAN 間ルーティングが可能な状態となる実装が多いです。それを止めたい場合にはそれなりの設計、設定が必要です。
VLAN 間ルーティングをさせない方法はいくつかあります。
各 VLAN インタフェースに ACL を設定する
これは一番オーソドックスなやり方です。各 VLAN の SVI (VLAN インタフェース) の in 方向に、各 VLAN への IP通信を禁止する ACL (アクセスリスト) を設定するのです。
クライアントへの戻りの通信については outbound 方向なので inbound 方向の ACL は適用されません。
逆に、次の図にある通り、何者かがクライアントへ行きの通信を送って来た場合、ACL には掛からず受信してしまいますが、今度は戻りの通信が inbound 方向に引っ掛かりますので、TCP の 3way handshake は成功せず、TCP コネクションは確立できません。
UDP についても、受信はしてしまいますが、もし DNS のような返信を伴うプロトコルだったとしても返信パケットは ACL で止められます。
この ACL を、よりシンプルにするには、IP 設計にも関わります。
例えばクライアントのセグメント (/24) を 10.1.0.0/16 内のレンジから選定するようにしておけば、ACL が以下のようにシンプルになります。中には例外的に通信させたいものがあるかもしれませんが、そういうときは deny の前に個別の permit ルールを書けばよいのです。
特定 VLAN のみを保護する
『全 VLAN インタフェースに ACL を設定するのは面倒くさいよ!』という方は、もし特定の VLAN だけ孤立させたいなら、その特定 VLAN の in と out 両方に ACL を欠けるのも良いでしょう。
ただ、もしその L3 スイッチに FW が直結しているなら、L3 スイッチには敢えて VLAN インタフェースを作らず (つまり L3 スイッチの該当 VLAN に IP を付与せず)、その VLAN のクライアントのデフォルトゲートウェイを FW にしてしまう、というのも有効な手です。
FW では明示した通信以外は暗黙の拒否で通信断されるので、設定ミスが少ないです。
VRF で保護する
VLAN をグルーピングして、グループ単位でアクセス制御したい、という場合は VRF によるネットワークの分割が有効かもしれません。この構成は、アウトオブバンド管理ネットワークの構成にも効果的です。
アウトオブバンド管理ネットワークについてはこちらを参照下さい。
コメント
いつも参考にさせて頂いてます、ありがとうございます。
「特定vlanを保護」の画像のfwとl3swの接続にvlan10以外にvlan130用の接続を別にもうけるのでしょうか?
お手すきのときにでも教えて頂ければ幸いです。
遠藤さん、こんにちは。
はい、trunk で vlan10 と一緒に 130 も通す構成です。
nesuke様
ご回答ありがとうございます!
自分の理解が追いつかず初歩的な質問をしてしまいました。
この構成ではl3sw-fw間のvlan10にはl3sw側でsviを設定し、ルーテッドポートにしなければトランクでvlan130をl2で透過できると言う理解で良かったでしょうか?
はい、その理解であってます。(細かい話ですが、ルーテッドポートというと L3SW の物理ポートに IP を付与することなので言葉のチョイスとしては誤りですね。ここでのポイントは vlan 130 の SVI に IP を付与しない、という話です。)
図の中に文言を追加してみました。
これなら初見でも分かりますかね?
図まで直して頂いて大変感謝です!
まだまだ勉強の身でご回答頂けて嬉しいです。
ルーテッドポートもご指摘ありがとうございます。
ルーテッドと言ったのはルーテッドポートにしてしまうとトランクの設定が出来るのか理解出来ていなかったものですから、変な事言ってすみませんでした。