Ich versuche, den Datenverkehr auf den VLANs zu trennen, da eines unser Besucher-VLAN ist (VLAN 3 ist das Gast-LAN). Es handelt sich um einen Cisco 881W-Router.
Hier ist meine VLAN-Konfiguration:
Schnittstelle Vlan2 IP-Adresse 10.10.100.1 255.255.255.0 keine IP-Weiterleitungen keine IP nicht erreichbar kein IP-Proxy-ARP IP-Fluss-Eingang IP-NAT im Inneren Virtuelle IP-Neuzusammenstellung Zonenmitgliedssicherheit in der Zone ! Schnittstelle Vlan3 IP-Adresse 10.100.10.1 255.255.255.0 keine IP-Weiterleitungen keine IP nicht erreichbar kein IP-Proxy-ARP IP-Fluss-Eingang IP-NAT im Inneren Virtuelle IP-Neuzusammenstellung Zonenmitgliedssicherheit in der Zone !
Hier sind meine ACLs
Zugriffsliste 1 Bemerkung INSIDE_IF=Vlan1 Zugriffsliste 1 Bemerkung CCP_ACL Kategorie=2 Zugriffsliste 1 Erlaubnis 10.10.10.0 0.0.0.255 Zugriffsliste 2 Bemerkung CCP_ACL Kategorie=2 Zugriffsliste 2 erlauben 10.10.10.0 0.0.0.255 Zugriffsliste 3 Bemerkung CCP_ACL Kategorie=2 Zugriffsliste 3 erlauben 10.10.100.0 0.0.0.255 Zugriffsliste 4 Bemerkung CCP_ACL Kategorie=2 Zugriffsliste 4 erlauben 10.100.10.0 0.0.0.255 Zugriffsliste 100 Bemerkung CCP_ACL Kategorie=128 Zugriffsliste 100 erlaubt IP-Host 255.255.255.255 beliebig Zugriffsliste 100 erlaubt IP 127.0.0.0 0.255.255.255 beliebig Zugriffsliste 100 erlaubt IP 70.22.148.0 0.0.0.255 beliebig Zugriffsliste 101 IP zulassen 10.100.10.0 0.0.0.255 10.100.10.0 0.0.0.255 Zugriffsliste 101 verweigern ICMP 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 Zugriffsliste 101 IP verweigern 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 Zugriffsliste 102 erlaubt IP-Host 255.255.255.255 beliebig
Sobald ich ip access-group 101 inVLAN 3 hinzufüge, kann VLAN 3 nicht mehr aus dem Router herauskommen. VLAN 3 kann den Router über 10.100.10.1 anpingen, und 10.10.100.* ist von VLAN 3 aus nicht mehr anpingbar (erwünscht).
Aktualisieren: Ich musste auch hinzufügen
access-list 10 permit udp any any eq bootpc
access-list 10 permit udp any any eq bootps
So funktioniert DHCP
Antwort1
Um Ihr Problem zu lösen, dass Sie nicht auf das Internet zugreifen können, haben Sie keine Zulassungsregel, die 10.100.10.0/24 bis 0.0.0.0/0 zulässt. Wenn Sie einfach den Zugriff auf das Netzwerk 10.10.100.0/24 vom Netzwerk 10.100.10.0/24 aus verweigern möchten, sollte Ihre Zugriffsliste folgendermaßen funktionieren (in dieser Reihenfolge):
1) Verweigern 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 2) Erlauben 10.100.10.0 0.0.0.255 beliebig
Antwort2
Als Haftungsausschluss: Ich bin mit Zonensicherheit nicht vertraut. Auf den ersten Blick sieht es jedoch so aus, als würden Sie damit ICMP (Pings) zulassen.
Wenn Sie die Pings mit Ihren ACLs blockieren möchten, müssen Sie diese ACLs tatsächlich mit einem Befehl wie diesem auf eine Schnittstelle anwenden: ip access-group 101 inwährend Sie sich im Konfigurationsbereich eines bestimmten VLAN befinden.