Archivio tag: routing

A volte, per esigenze di testing, troubleshooting o per motivi di healt-check, può essere necessario che uno switch debba avere un indirizzo ip su diverse VLAN configurate su di esso. Tuttavia potrebbe non essere desiderabile, soprattutto per motivi di sicurezza, che lo switch faccia inter-VLAN routing comportandosi quindi come un router (o switch layer 3). Sugli switch layer 3 Cisco che eseguono IOS disabilitare l’inter-VLAN routing è semplice tanto quanto digitare il seguente comando in configuration mode:

Purtroppo lo stesso non vale per gli switch Juniper che, di default, si comportano da router permettendo la comunicazione diretta tra le subnet delle VLAN configurate, con il sistema operativo JunOS che non prevede un semplice comando per disabilitare questa funzione. Per rimediare a questa grave mancanza si può procedere in tre modi differenti:

1. disabilitare le SVI
2. utilizzare delle ACL
3. utilizzare diverse routing instances (aka VRF), una per ciascuna SVI

La prima soluzione è ovviamente impraticabile se le SVI ci servono per i motivi citati all’inizio. La seconda soluzione è invece particolarmente onerosa in termini di configurazione, può comportare sviste ed errori e, soprattutto, implica degli aggiornamenti ogni qualvolta si decide di aggiungere o rimuovere delle SVI. La terza soluzione è quella più semplice, veloce ed efficace. Supponendo di avere una vlan chiamata dmz, con vlan-id 50 e con associata interfaccia l3 chiamata vlan.50, per segregare questa interfaccia l3 all’interno di una routing-instance dedicata (che chiamiamo ri-dmz) si procede come segue:

Più in generale:

Alla relativa semplicità di questa soluzione, però, si contrappone purtroppo la necessità della relativa licenza. Infatti:

e