Cisco

Cisco IOS:防止 VLAN 間 IPv6 網路請求消息

  • October 27, 2014

我有一個 Cisco 3825 路由器(除其他外)用作網際網路網關。我有兩個 VLAN,但其中只有一個應該可以訪問網際網路。

VLAN10: network = x:y:z:10::/64  (NO internet access)
VLAN20: network = x:y:z:20::/64  (internet access)

這是我目前配置的重要部分:

interface FastEthernet0/0/0
description *** Shared LAN connection for all VLANs
switchport trunk allowed vlan 1,10,20
switchport mode trunk

interface Vlan10
description *** LAN with NO internet access
ipv6 address x:y:z:10::1/64

interface Vlan20
description *** LAN with internet access
ipv6 address x:y:z:20::1/64

interface GigabitEthernet0/0
description *** The actual internet connection
ipv6 address a:b:c:d::1/64

ipv6 route x:y:z:10::/64 Vlan10
ipv6 route x:y:z:20::/64 Vlan20
ipv6 route ::/0 GigabitEthernet0/0 n:e:x:t:h:o:p:1

問題是路由器在兩個 VLAN 上發送兩個網路的鄰居請求消息,使主機從兩個網路中獲取 IPv6 全域單播地址,從而防止我需要的子網隔離。例如,Vlan20 上的主機獲取地址 x:y:z:10::something/64 和 x:y:z:20::something/64,最終可能會使用第一個訪問 Internet,這將失敗因為配置中的 ipv6 路由規範。

我已經嘗試了各種 ACL,但我還沒有找到一種允許我過濾網路請求數據包內容的 ACL。

有沒有辦法防止這些“錯誤”的 NS 消息?或者我可以嘗試一種不同的方法嗎?

編輯:

更深入的數據包分析向我表明,原因不是 NS 消息,而是從 Cisco 路由器發送到主機的路由器廣告消息。但是,這並不能幫助我解決問題。我仍然需要“過濾掉”不屬於該特定 Vlan 的子網。

問題解決了。原來問題根本不在於思科,而在於客戶端交換機(Netgear ProSafe)。它配置不正確,因此它合併了 VLAN,從而使我的電腦接收到來自 Cisco 路由器的所有 RA 消息。

引用自:https://serverfault.com/questions/579986