Cisco IOS：隔離 VLAN

我正在嘗試隔離 VLAN 上的流量，因為其中一個是我們的訪客 VLAN（VLAN 3 是來賓 LAN）。它是 Cisco 881W 路由器。

這是我的 VLAN 配置：

介面 Vlan2
ip地址10.10.100.1 255.255.255.0
沒有IP重定向
沒有 ip 無法訪問
沒有 ip 代理-arp
ip 流量入口
ip nat 裡面
ip 虛擬重組
區域成員安全區域內
!
介面 Vlan3
ip地址10.100.10.1 255.255.255.0
沒有IP重定向
沒有 ip 無法訪問
沒有 ip 代理-arp
ip 流量入口
ip nat 裡面
ip 虛擬重組
區域成員安全區域內
!

這是我的 ACL

訪問列表 1 備註 INSIDE_IF=Vlan1
訪問列表 1 備註 CCP_ACL 類別=2
訪問列表 1 許可 10.10.10.0 0.0.0.255
訪問列表 2 備註 CCP_ACL 類別=2
訪問列表 2 允許 10.10.10.0 0.0.0.255
訪問列表 3 備註 CCP_ACL 類別=2
訪問列表 3 允許 10.10.100.0 0.0.0.255
訪問列表 4 備註 CCP_ACL 類別=2
訪問列表 4 允許 10.100.10.0 0.0.0.255
訪問列表 100 備註 CCP_ACL 類別=128
訪問列表 100 允許 ip 主機 255.255.255.255 任何
訪問列表 100 允許 ip 127.0.0.0 0.255.255.255 任何
訪問列表 100 允許 ip 70.22.148.0 0.0.0.255 任何
訪問列表 101 允許 ip 10.100.10.0 0.0.0.255 10.100.10.0 0.0.0.255
訪問列表 101 拒絕 icmp 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255
訪問列表 101 拒絕 ip 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255
訪問列表 102 允許 ip 主機 255.255.255.255 任何

一旦我添加ip access-group 101 in到 VLAN 3，VLAN 3 就無法再離開路由器。VLAN 3 可以通過 10.100.10.1 ping 路由器，並且 10.10.100.* 不再可以從 VLAN 3 ping 通（需要）。

更新： 我還必須添加

access-list 10 permit udp any any eq bootpc
access-list 10 permit udp any any eq bootps

使 DHCP 工作

為了解決您無法上網的問題，您沒有允許 10.100.10.0/24 到 0.0.0.0/0 的允許規則。如果您只是想拒絕從 10.100.10.0/24 網路訪問 10.10.100.0/24 網路，您希望訪問列表像這樣工作（按此順序）：

1. 拒絕 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 2) 允許 10.100.10.0 0.0.0.255 任何

作為免責聲明，我不熟悉區域安全性。但是，乍一看，您確實允許使用它進行 ICMP（ping）。

如果您打算使用 ACL 阻止 ping，則必須使用以下命令將這些 ACL 實際應用到介面：ip access-group 101 in在特定 vlan 的配置區域中。

引用自：https://serverfault.com/questions/168855