Estoy intentando segregar el tráfico en las VLAN, ya que una es nuestra VLAN visitante (la VLAN 3 es la LAN invitada). Es un enrutador Cisco 881W.
Aquí está mi configuración de VLAN:
interfaz Vlan2 dirección IP 10.10.100.1 255.255.255.0 sin redirecciones de ip sin ip inalcanzables sin ip proxy-arp entrada de flujo ip ip nat dentro reensamblaje virtual de ip seguridad de los miembros de la zona en la zona ! interfaz Vlan3 dirección IP 10.100.10.1 255.255.255.0 sin redirecciones de ip sin ip inalcanzables sin ip proxy-arp entrada de flujo ip ip nat dentro reensamblaje virtual de ip seguridad de los miembros de la zona en la zona !
Aquí están mis ACL
lista de acceso 1 comentario INSIDE_IF=Vlan1 lista de acceso 1 comentario CCP_ACL Categoría=2 lista de acceso 1 permiso 10.10.10.0 0.0.0.255 lista de acceso 2 observación CCP_ACL Categoría=2 permiso de lista de acceso 2 10.10.10.0 0.0.0.255 lista de acceso 3 observación CCP_ACL Categoría=2 lista de acceso 3 permiso 10.10.100.0 0.0.0.255 lista de acceso 4 observación CCP_ACL Categoría=2 lista de acceso 4 permiso 10.100.10.0 0.0.0.255 lista de acceso 100 observación CCP_ACL Categoría = 128 lista de acceso 100 permiso ip host 255.255.255.255 cualquiera lista de acceso 100 permiso ip 127.0.0.0 0.255.255.255 cualquiera lista de acceso 100 permiso ip 70.22.148.0 0.0.0.255 cualquiera lista de acceso 101 permiso ip 10.100.10.0 0.0.0.255 10.100.10.0 0.0.0.255 lista de acceso 101 denegar icmp 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 lista de acceso 101 denegar ip 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 lista de acceso 102 permitir ip host 255.255.255.255 cualquiera
Tan pronto como agrego ip access-group 101 ina la VLAN 3, la VLAN 3 ya no puede salir del enrutador. La VLAN 3 puede hacer ping al enrutador a través de 10.100.10.1 y ya no se puede hacer ping a 10.10.100.* desde la VLAN 3 (deseada).
Actualizar: También tuve que agregar
access-list 10 permit udp any any eq bootpc
access-list 10 permit udp any any eq bootps
Para hacer que DHCP funcione
Respuesta1
Para solucionar el problema de no poder acceder a Internet, no tiene una regla de permiso que permita 10.100.10.0/24 a 0.0.0.0/0. Si simplemente desea denegar el acceso a la red 10.10.100.0/24 desde la red 10.100.10.0/24, desea que su lista de acceso funcione así (en este orden):
1) Denegar 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 2) Permitir 10.100.10.0 0.0.0.255 cualquiera
Respuesta2
Como descargo de responsabilidad, no estoy familiarizado con la seguridad de zona. Sin embargo, a simple vista parece que estás permitiendo ICMP (pings) con eso.
Si su intención es bloquear los pings con sus ACL, tendrá que aplicar esas ACL a una interfaz con un comando como: ip access-group 101 inmientras se encuentra en el área de configuración de una VLAN en particular.