Estou tentando segregar o tráfego nas VLANs, já que uma delas é a VLAN do nosso visitante (a VLAN 3 é a LAN convidada). É um roteador Cisco 881W.
Aqui está minha configuração de VLAN:
interface Vlan2 endereço IP 10.10.100.1 255.255.255.0 sem redirecionamentos de IP sem ip inacessível sem ip proxy-arp entrada de fluxo ip ip nat dentro remontagem virtual de ip segurança de membro da zona na zona ! interface Vlan3 endereço IP 10.100.10.1 255.255.255.0 sem redirecionamentos de IP sem ip inacessível sem ip proxy-arp entrada de fluxo ip ip nat dentro remontagem virtual de ip segurança de membro da zona na zona !
Aqui estão minhas ACLs
observação da lista de acesso 1 INSIDE_IF=Vlan1 observação da lista de acesso 1 CCP_ACL Categoria = 2 lista de acesso 1 permissão 10.10.10.0 0.0.0.255 observação da lista de acesso 2 CCP_ACL Categoria = 2 lista de acesso 2 permissão 10.10.10.0 0.0.0.255 observação da lista de acesso 3 CCP_ACL Categoria = 2 lista de acesso 3 permissão 10.10.100.0 0.0.0.255 lista de acesso 4 observação CCP_ACL Categoria = 2 lista de acesso 4 permissão 10.100.10.0 0.0.0.255 lista de acesso 100 observação CCP_ACL Categoria = 128 lista de acesso 100 permissão ip host 255.255.255.255 qualquer lista de acesso 100 permissão ip 127.0.0.0 0.255.255.255 qualquer lista de acesso 100 permissão ip 70.22.148.0 0.0.0.255 qualquer lista de acesso 101 permissão ip 10.100.10.0 0.0.0.255 10.100.10.0 0.0.0.255 lista de acesso 101 negar icmp 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 lista de acesso 101 negar ip 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 lista de acesso 102 permitir ip host 255.255.255.255 qualquer
Assim que adiciono ip access-group 101 ina VLAN 3, a VLAN 3 não consegue mais sair do roteador. A VLAN 3 pode executar ping no roteador por meio de 10.100.10.1 e 10.10.100.* não pode mais executar ping na VLAN 3 (desejado).
Atualizar: Eu também tive que adicionar
access-list 10 permit udp any any eq bootpc
access-list 10 permit udp any any eq bootps
Para fazer o DHCP funcionar
Responder1
Para resolver o problema de não conseguir acessar a Internet, você não tem uma regra de permissão que permita 10.100.10.0/24 a 0.0.0.0/0. Se você simplesmente deseja negar acesso à rede 10.10.100.0/24 da rede 10.100.10.0/24, deseja que sua lista de acesso funcione assim (nesta ordem):
1) Negar 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 2) Permitir 10.100.10.0 0.0.0.255 qualquer
Responder2
Como isenção de responsabilidade, não estou familiarizado com a segurança da zona. No entanto, à primeira vista, parece que você está permitindo ICMP (pings) com isso.
Se sua intenção é bloquear os pings com suas ACLs, você terá que realmente aplicar essas ACLs a uma interface com um comando como: ip access-group 101 inenquanto estiver na área de configuração de uma vlan específica.