我正在尝试隔离 VLAN 上的流量,因为其中一个是我们的访客 VLAN(VLAN 3 是来宾 lan)。它是 Cisco 881W 路由器。
这是我的 VLAN 配置:
接口 Vlan2 IP 地址 10.10.100.1 255.255.255.0 无 IP 重定向 无 IP 不可达 没有 ip 代理 arp IP 流量入口 ip nat 内部 ip 虚拟重组 区域成员安全区域内 ! 接口 Vlan3 IP地址 10.100.10.1 255.255.255.0 无 IP 重定向 无 IP 不可达 没有 ip 代理 arp IP 流量入口 ip nat 内部 ip 虚拟重组 区域成员安全区域内 !
这是我的 ACL
访问列表 1 注释 INSIDE_IF=Vlan1 访问列表 1 注释 CCP_ACL 类别=2 访问列表 1 允许 10.10.10.0 0.0.0.255 访问列表 2 注释 CCP_ACL 类别=2 访问列表 2 允许 10.10.10.0 0.0.0.255 访问列表 3 注释 CCP_ACL 类别=2 访问列表 3 允许 10.10.100.0 0.0.0.255 访问列表 4 注释 CCP_ACL 类别=2 访问列表 4 允许 10.100.10.0 0.0.0.255 访问列表 100 注释 CCP_ACL 类别=128 访问列表 100 允许 IP 主机 255.255.255.255 任意 访问列表 100 允许 ip 127.0.0.0 0.255.255.255 任意 访问列表 100 允许 ip 70.22.148.0 0.0.0.255 任意 访问列表 101 允许 ip 10.100.10.0 0.0.0.255 10.100.10.0 0.0.0.255 访问列表 101 拒绝 icmp 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 访问列表 101 拒绝 ip 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 访问列表 102 允许 IP 主机 255.255.255.255 任意
一旦我添加ip access-group 101 in到 VLAN 3,VLAN 3 就无法再脱离路由器。VLAN 3 可以通过 10.100.10.1 ping 路由器,而 10.10.100.* 不再可从 VLAN 3 (所需) ping 通。
更新: 我还必须补充一点
access-list 10 permit udp any any eq bootpc
access-list 10 permit udp any any eq bootps
使 DHCP 正常工作
答案1
为了解决您无法访问互联网的问题,您没有允许 10.100.10.0/24 到 0.0.0.0/0 的允许规则。如果您只是想拒绝从 10.100.10.0/24 网络访问 10.10.100.0/24 网络,您希望您的访问列表按以下顺序工作:
1)拒绝 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 2)允许 10.100.10.0 0.0.0.255 任意
答案2
免责声明:我不熟悉区域安全。但是乍一看,您似乎允许使用 ICMP(ping)。
如果您打算使用 ACL 阻止 ping,则必须使用以下命令将这些 ACL 实际应用到接口:ip access-group 101 in在特定 vlan 的配置区域中。