VLAN の 1 つはビジター VLAN (VLAN 3 はゲスト LAN) なので、VLAN 上のトラフィックを分離しようとしています。これは Cisco 881W ルータです。
私の VLAN 構成は次のとおりです。
インターフェースVlan2 IPアドレス 10.10.100.1 255.255.255.0 IPリダイレクトなし IP 到達不能なし IPプロキシARPなし IPフロー入力 IP NAT 内部 IP 仮想再構成 ゾーンメンバーのセキュリティゾーン内 ! インターフェースVlan3 IPアドレス 10.100.10.1 255.255.255.0 IPリダイレクトなし IP 到達不能なし IPプロキシARPなし IPフロー入力 IP NAT 内部 IP 仮想再構成 ゾーンメンバーのセキュリティゾーン内 !
これが私のACLです
アクセスリスト 1 コメント INSIDE_IF=Vlan1 アクセスリスト 1 注釈 CCP_ACL カテゴリ=2 アクセスリスト 1 許可 10.10.10.0 0.0.0.255 アクセスリスト 2 注釈 CCP_ACL カテゴリ = 2 アクセスリスト 2 許可 10.10.10.0 0.0.0.255 アクセスリスト 3 注釈 CCP_ACL カテゴリ = 2 アクセスリスト3 許可 10.10.100.0 0.0.0.255 アクセスリスト 4 注釈 CCP_ACL カテゴリ = 2 アクセスリスト4 許可 10.100.10.0 0.0.0.255 アクセスリスト 100 注釈 CCP_ACL カテゴリ=128 アクセスリスト 100 許可 IP ホスト 255.255.255.255 任意 アクセスリスト 100 許可 IP 127.0.0.0 0.255.255.255 任意 アクセスリスト 100 許可 IP 70.22.148.0 0.0.0.255 任意 アクセスリスト 101 許可 IP 10.100.10.0 0.0.0.255 10.100.10.0 0.0.0.255 アクセスリスト 101 icmp を拒否 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 アクセスリスト 101 拒否 IP 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 アクセスリスト 102 許可 IP ホスト 255.255.255.255 任意
VLAN 3 に追加するとすぐにip access-group 101 in、VLAN 3 はルータから出られなくなります。VLAN 3 は 10.100.10.1 経由でルータに ping できますが、10.10.100.* は VLAN 3 から ping できなくなりました (望ましい)。
アップデート: 私はまた付け加えなければならなかった
access-list 10 permit udp any any eq bootpc
access-list 10 permit udp any any eq bootps
DHCPを動作させるには
答え1
インターネットに接続できないという問題を解決するには、10.100.10.0/24 から 0.0.0.0/0 へのアクセスを許可するルールがありません。10.100.10.0/24 ネットワークから 10.10.100.0/24 ネットワークへのアクセスを単に拒否したい場合は、アクセス リストを次のように (この順序で) 動作させる必要があります。
1) 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 を拒否 2) 10.100.10.0 0.0.0.255 を許可
答え2
免責事項として、私はゾーン セキュリティについて詳しくありません。ただし、一見すると、ICMP (ping) を許可しているように見えます。
ip access-group 101 inACL を使用して ping をブロックする場合は、特定の VLAN の設定領域内で次のようなコマンドを使用して、実際にそれらの ACL をインターフェイスに適用する必要があります。