Cisco
Cisco IOS:隔離 VLAN
我正在嘗試隔離 VLAN 上的流量,因為其中一個是我們的訪客 VLAN(VLAN 3 是來賓 LAN)。它是 Cisco 881W 路由器。
這是我的 VLAN 配置:
介面 Vlan2 ip地址10.10.100.1 255.255.255.0 沒有IP重定向 沒有 ip 無法訪問 沒有 ip 代理-arp ip 流量入口 ip nat 裡面 ip 虛擬重組 區域成員安全區域內 ! 介面 Vlan3 ip地址10.100.10.1 255.255.255.0 沒有IP重定向 沒有 ip 無法訪問 沒有 ip 代理-arp ip 流量入口 ip nat 裡面 ip 虛擬重組 區域成員安全區域內 !
這是我的 ACL
訪問列表 1 備註 INSIDE_IF=Vlan1 訪問列表 1 備註 CCP_ACL 類別=2 訪問列表 1 許可 10.10.10.0 0.0.0.255 訪問列表 2 備註 CCP_ACL 類別=2 訪問列表 2 允許 10.10.10.0 0.0.0.255 訪問列表 3 備註 CCP_ACL 類別=2 訪問列表 3 允許 10.10.100.0 0.0.0.255 訪問列表 4 備註 CCP_ACL 類別=2 訪問列表 4 允許 10.100.10.0 0.0.0.255 訪問列表 100 備註 CCP_ACL 類別=128 訪問列表 100 允許 ip 主機 255.255.255.255 任何 訪問列表 100 允許 ip 127.0.0.0 0.255.255.255 任何 訪問列表 100 允許 ip 70.22.148.0 0.0.0.255 任何 訪問列表 101 允許 ip 10.100.10.0 0.0.0.255 10.100.10.0 0.0.0.255 訪問列表 101 拒絕 icmp 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 訪問列表 101 拒絕 ip 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 訪問列表 102 允許 ip 主機 255.255.255.255 任何
一旦我添加
ip access-group 101 in
到 VLAN 3,VLAN 3 就無法再離開路由器。VLAN 3 可以通過 10.100.10.1 ping 路由器,並且 10.10.100.* 不再可以從 VLAN 3 ping 通(需要)。更新: 我還必須添加
access-list 10 permit udp any any eq bootpc access-list 10 permit udp any any eq bootps
使 DHCP 工作
為了解決您無法上網的問題,您沒有允許 10.100.10.0/24 到 0.0.0.0/0 的允許規則。如果您只是想拒絕從 10.100.10.0/24 網路訪問 10.10.100.0/24 網路,您希望訪問列表像這樣工作(按此順序):
- 拒絕 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 2) 允許 10.100.10.0 0.0.0.255 任何
作為免責聲明,我不熟悉區域安全性。但是,乍一看,您確實允許使用它進行 ICMP(ping)。
如果您打算使用 ACL 阻止 ping,則必須使用以下命令將這些 ACL 實際應用到介面:
ip access-group 101 in
在特定 vlan 的配置區域中。