Назад | Перейти на главную страницу

Cisco IOS: разделение виртуальных локальных сетей

Я пытаюсь разделить трафик в VLAN, так как одна из них - это наша гостевая VLAN (VLAN 3 - это гостевая сеть). Это маршрутизатор Cisco 881W.

Вот моя конфигурация VLAN:

interface Vlan2
 ip address 10.10.100.1 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 ip nat inside
 ip virtual-reassembly
 zone-member security in-zone
!
interface Vlan3
 ip address 10.100.10.1 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 ip nat inside
 ip virtual-reassembly
 zone-member security in-zone
!

Вот мои ACL

access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 10.10.10.0 0.0.0.255
access-list 2 remark CCP_ACL Category=2
access-list 2 permit 10.10.10.0 0.0.0.255
access-list 3 remark CCP_ACL Category=2
access-list 3 permit 10.10.100.0 0.0.0.255
access-list 4 remark CCP_ACL Category=2
access-list 4 permit 10.100.10.0 0.0.0.255
access-list 100 remark CCP_ACL Category=128
access-list 100 permit ip host 255.255.255.255 any
access-list 100 permit ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip 70.22.148.0 0.0.0.255 any
access-list 101 permit ip 10.100.10.0 0.0.0.255 10.100.10.0 0.0.0.255
access-list 101 deny   icmp 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255
access-list 101 deny   ip 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255
access-list 102 permit ip host 255.255.255.255 any

Как только добавлю ip access-group 101 in к VLAN 3, VLAN 3 больше не может выйти из маршрутизатора. VLAN 3 может пинговать маршрутизатор через 10.100.10.1, а 10.10.100. * Больше не может пинговать из VLAN 3 (желательно).

Обновить: Мне также пришлось добавить

access-list 10 permit udp any any eq bootpc
access-list 10 permit udp any any eq bootps

Чтобы DHCP работал

В качестве оговорки я не знаком с безопасностью зон. Однако на первый взгляд кажется, что вы разрешаете ICMP (эхо-запросы) с этим.

Если вы намереваетесь заблокировать эхо-запросы с помощью своих списков контроля доступа, вам придется фактически применить эти списки контроля доступа к интерфейсу с помощью такой команды: ip access-group 101 in находясь в зоне конфигурации конкретного vlan.

Чтобы решить вашу проблему, связанную с невозможностью выхода в Интернет, у вас нет разрешающего правила, разрешающего 10.100.10.0/24 - 0.0.0.0/0. Если вы просто хотите запретить доступ к сети 10.10.100.0/24 из сети 10.100.10.0/24, вы хотите, чтобы ваш список доступа работал следующим образом (в этом порядке):

1) Запретить 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 2) Разрешить 10.100.10.0 0.0.0.255 любой