Я пытаюсь разделить трафик в VLAN, так как одна из них - это наша гостевая VLAN (VLAN 3 - это гостевая сеть). Это маршрутизатор Cisco 881W.
Вот моя конфигурация VLAN:
interface Vlan2 ip address 10.10.100.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip flow ingress ip nat inside ip virtual-reassembly zone-member security in-zone ! interface Vlan3 ip address 10.100.10.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip flow ingress ip nat inside ip virtual-reassembly zone-member security in-zone !
Вот мои ACL
access-list 1 remark INSIDE_IF=Vlan1 access-list 1 remark CCP_ACL Category=2 access-list 1 permit 10.10.10.0 0.0.0.255 access-list 2 remark CCP_ACL Category=2 access-list 2 permit 10.10.10.0 0.0.0.255 access-list 3 remark CCP_ACL Category=2 access-list 3 permit 10.10.100.0 0.0.0.255 access-list 4 remark CCP_ACL Category=2 access-list 4 permit 10.100.10.0 0.0.0.255 access-list 100 remark CCP_ACL Category=128 access-list 100 permit ip host 255.255.255.255 any access-list 100 permit ip 127.0.0.0 0.255.255.255 any access-list 100 permit ip 70.22.148.0 0.0.0.255 any access-list 101 permit ip 10.100.10.0 0.0.0.255 10.100.10.0 0.0.0.255 access-list 101 deny icmp 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 access-list 101 deny ip 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 access-list 102 permit ip host 255.255.255.255 any
Как только добавлю ip access-group 101 in
к VLAN 3, VLAN 3 больше не может выйти из маршрутизатора. VLAN 3 может пинговать маршрутизатор через 10.100.10.1, а 10.10.100. * Больше не может пинговать из VLAN 3 (желательно).
Обновить: Мне также пришлось добавить
access-list 10 permit udp any any eq bootpc
access-list 10 permit udp any any eq bootps
Чтобы DHCP работал
В качестве оговорки я не знаком с безопасностью зон. Однако на первый взгляд кажется, что вы разрешаете ICMP (эхо-запросы) с этим.
Если вы намереваетесь заблокировать эхо-запросы с помощью своих списков контроля доступа, вам придется фактически применить эти списки контроля доступа к интерфейсу с помощью такой команды: ip access-group 101 in
находясь в зоне конфигурации конкретного vlan.
Чтобы решить вашу проблему, связанную с невозможностью выхода в Интернет, у вас нет разрешающего правила, разрешающего 10.100.10.0/24 - 0.0.0.0/0. Если вы просто хотите запретить доступ к сети 10.10.100.0/24 из сети 10.100.10.0/24, вы хотите, чтобы ваш список доступа работал следующим образом (в этом порядке):
1) Запретить 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 2) Разрешить 10.100.10.0 0.0.0.255 любой