我有一台 Cisco 3825 路由器,它(除其他功能外)可用作互联网网关。我有两个 VLAN,但只有其中一个可以访问互联网。
VLAN10: network = x:y:z:10::/64 (NO internet access)
VLAN20: network = x:y:z:20::/64 (internet access)
这是我当前配置的重要部分:
interface FastEthernet0/0/0
description *** Shared LAN connection for all VLANs
switchport trunk allowed vlan 1,10,20
switchport mode trunk
interface Vlan10
description *** LAN with NO internet access
ipv6 address x:y:z:10::1/64
interface Vlan20
description *** LAN with internet access
ipv6 address x:y:z:20::1/64
interface GigabitEthernet0/0
description *** The actual internet connection
ipv6 address a:b:c:d::1/64
ipv6 route x:y:z:10::/64 Vlan10
ipv6 route x:y:z:20::/64 Vlan20
ipv6 route ::/0 GigabitEthernet0/0 n:e:x:t:h:o:p:1
问题在于路由器会在两个 VLAN 上发送针对两个网络的邻居请求消息,从而使主机从两个网络获取 IPv6 全局单播地址,从而阻止我需要的子网隔离。例如,Vlan20 上的主机获取地址 x:y:z:10::something/64 和 x:y:z:20::something/64,并且可能最终使用第一个地址访问互联网,但由于配置中的 ipv6 路由规范,该地址将失败。
我尝试了各种 ACL,但没有找到一个可以让我过滤网络请求数据包的内容的 ACL。
有没有办法防止这些“错误”的 NS 消息?或者我可以尝试其他方法吗?
编辑:
更深入的数据包分析让我发现,问题不是出在 NS 消息上,而是出在 Cisco 路由器向主机发送的路由器通告消息上。但是,这并不能帮助我解决问题。我仍然需要“过滤掉”不属于该特定 Vlan 的子网。
答案1
问题解决了。结果发现问题根本不是 Cisco,而是客户端交换机 (Netgear ProSafe)。该交换机配置不正确,导致合并了 VLAN,导致我的计算机收到来自 Cisco 路由器的所有 RA 消息。