하나는 방문자 VLAN이므로 VLAN에서 트래픽을 분리하려고 합니다(VLAN 3은 게스트 LAN입니다). Cisco 881W 라우터입니다.
내 VLAN 구성은 다음과 같습니다.
인터페이스 Vlan2 IP 주소 10.10.100.1 255.255.255.0 IP 리디렉션 없음 연결할 수 없는 IP 없음 IP 프록시-ARP 없음 IP 흐름 수신 IP NAT 내부 IP 가상 재조립 영역 내 영역 구성원 보안 ! 인터페이스 Vlan3 IP 주소 10.100.10.1 255.255.255.0 IP 리디렉션 없음 연결할 수 없는 IP 없음 IP 프록시-ARP 없음 IP 흐름 수신 IP NAT 내부 IP 가상 재조립 영역 내 영역 구성원 보안 !
내 ACL은 다음과 같습니다.
액세스 목록 1 설명 INSIDE_IF=Vlan1 액세스 목록 1 설명 CCP_ACL 카테고리=2 액세스 목록 1 허가 10.10.10.0 0.0.0.255 액세스 목록 2 설명 CCP_ACL 카테고리=2 액세스 목록 2 허가 10.10.10.0 0.0.0.255 액세스 목록 3 설명 CCP_ACL 카테고리=2 액세스 목록 3 허가 10.10.100.0 0.0.0.255 액세스 목록 4 설명 CCP_ACL 카테고리=2 액세스 목록 4 허가 10.100.10.0 0.0.0.255 액세스 목록 100 설명 CCP_ACL 카테고리=128 액세스 목록 100 허용 IP 호스트 255.255.255.255 모두 액세스 목록 100 허용 IP 127.0.0.0 0.255.255.255 모두 액세스 목록 100 허용 IP 70.22.148.0 0.0.0.255 모두 액세스 목록 101 허용 IP 10.100.10.0 0.0.0.255 10.100.10.0 0.0.0.255 액세스 목록 101 거부 icmp 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 액세스 목록 101 거부 IP 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 액세스 목록 102 허용 IP 호스트 255.255.255.255 모두
VLAN 3에 추가하자마자 ip access-group 101 inVLAN 3은 더 이상 라우터에서 나갈 수 없습니다. VLAN 3은 10.100.10.1을 통해 라우터를 ping할 수 있으며 10.10.100.*은 더 이상 VLAN 3(권장)에서 ping할 수 없습니다.
업데이트: 나도 추가해야 했어
access-list 10 permit udp any any eq bootpc
access-list 10 permit udp any any eq bootps
DHCP를 작동시키려면
답변1
인터넷에 접속할 수 없는 문제를 해결하기 위해 10.100.10.0/24를 0.0.0.0/0으로 허용하는 허용 규칙이 없습니다. 단순히 10.100.10.0/24 네트워크에서 10.10.100.0/24 네트워크에 대한 액세스를 거부하려는 경우 액세스 목록이 다음과 같이 작동하도록 하십시오(이 순서대로).
1) 거부 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 2) 허용 10.100.10.0 0.0.0.255 모두
답변2
면책 조항으로서 저는 영역 보안에 익숙하지 않습니다. 그러나 얼핏 보면 ICMP(핑)을 허용하는 것처럼 보입니다.
ip access-group 101 inACL을 사용하여 핑을 차단하려는 경우 특정 VLAN의 구성 영역에 있는 동안 다음과 같은 명령을 사용하여 해당 ACL을 인터페이스에 실제로 적용해야 합니다.