我使用最基本的设置配置了内部 VLAN,其中端口 1-7 是从 192.168.15.5 -> 192.168.15.36 范围内的地址池中分配的。这些主机可以访问互联网,并且运行良好。
我现在尝试设置的是允许连接到设备并指定其 IP(例如我连接并请求 192.168.15.45)的用户获得互联网访问权限,并且仍可与 DHCP 主机一起工作。那些具有 DHCP 分配地址的用户将被禁止访问互联网。
问题主要在于我对该设备的操作还很陌生。我觉得解决方案很简单,但我没有在正确的位置寻找,也没有正确的术语来谷歌搜索。我需要定义访问控制列表吗?组策略?新的 VLAN?设置的规则似乎特定于整个 /24 子网,但当我请求 DHCP 范围之外的静态 IP 时,我会被其他主机和互联网阻止。
按照要求:
interface Vlan1
description VLAN to inside hosts
nameif inside
security-level 100
ip address 10.100.31.1 255.255.255.0
!
access-list outside_access_in extended permit icmp any any
access-list semc_splitTunnelAcl standard permit 10.100.31.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 10.100.31.0 255.255.255.0 10.100.31.192 255.255.255.192
access-list inside_nat0_outbound extended permit ip 10.100.31.0 255.255.255.0 10.100.31.0 255.255.255.192
access-list inside_access_in extended permit ip any any
access-list inside_access_out extended permit ip any any
access-list outside_access_out extended permit ip interface inside any
access-list ACL_OUT extended permit tcp any any
access-list ANY extended permit ip any any
access-list OUT extended permit ip any any
ip local pool VPN_Pool 10.100.31.220-10.100.31.250 mask 255.255.255.0
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 10.100.31.0 255.255.255.0
nat (inside) 1 0.0.0.0 0.0.0.0
access-group ANY in interface inside
access-group inside_access_out out interface inside
access-group ACL_OUT in interface outside
access-group OUT out interface outside
dhcpd address 10.100.31.64-10.100.31.95 inside
dhcpd enable inside
答案1
思科支持论坛的一位用户回答了这个问题。我很抱歉我的问题有点尴尬,因为我仍在努力学习有关网络设备(尤其是思科)的大量术语。我在此处附上了讨论链接: