Я пытаюсь разделить трафик по VLAN, так как одна из них — это наш гостевой VLAN (VLAN 3 — гостевая локальная сеть). Это маршрутизатор Cisco 881W.
Вот моя конфигурация VLAN:
интерфейс Vlan2 IP-адрес 10.10.100.1 255.255.255.0 нет перенаправлений IP нет ip недостижимых нет ip proxy-arp входной поток ip ip nat внутри ip виртуальная-пересборка безопасность члена зоны в зоне ! интерфейс Vlan3 IP-адрес 10.100.10.1 255.255.255.0 нет перенаправлений IP нет ip недостижимых нет ip proxy-arp входной поток ip ip nat внутри ip виртуальная-пересборка безопасность члена зоны в зоне !
Вот мои списки контроля доступа
список доступа 1 замечание INSIDE_IF=Vlan1 список доступа 1 замечание CCP_ACL Категория=2 список доступа 1 разрешение 10.10.10.0 0.0.0.255 список доступа 2 примечание CCP_ACL Категория=2 список доступа 2 разрешение 10.10.10.0 0.0.0.255 список доступа 3 замечание CCP_ACL Категория=2 список доступа 3 разрешение 10.10.100.0 0.0.0.255 список доступа 4 замечание CCP_ACL Категория=2 список доступа 4 разрешение 10.100.10.0 0.0.0.255 список доступа 100 замечание CCP_ACL Категория=128 список доступа 100 разрешить ip хост 255.255.255.255 любой список доступа 100 разрешить ip 127.0.0.0 0.255.255.255 любой список-доступа 100 разрешить ip 70.22.148.0 0.0.0.255 любой список-доступа 101 разрешение ip 10.100.10.0 0.0.0.255 10.100.10.0 0.0.0.255 список-доступа 101 отклонить icmp 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 список-доступа 101 запретить ip 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 список доступа 102 разрешить ip хост 255.255.255.255 любой
Как только я добавляюсь ip access-group 101 inк VLAN 3, VLAN 3 больше не может выйти за пределы маршрутизатора. VLAN 3 может пинговать маршрутизатор через 10.100.10.1, а 10.10.100.* больше не пингуется из VLAN 3 (желательно).
Обновлять: Мне также пришлось добавить
access-list 10 permit udp any any eq bootpc
access-list 10 permit udp any any eq bootps
Чтобы DHCP работал
решение1
Чтобы решить вашу проблему с невозможностью выйти в Интернет, у вас нет разрешающего правила, разрешающего 10.100.10.0/24 для 0.0.0.0/0. Если вы просто хотите запретить доступ к сети 10.10.100.0/24 из сети 10.100.10.0/24, вы хотите, чтобы ваш список доступа работал следующим образом (в этом порядке):
1) Запретить 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 2) Разрешить 10.100.10.0 0.0.0.255 любой
решение2
В качестве отказа от ответственности я не знаком с безопасностью зон. Однако на первый взгляд кажется, что вы разрешаете ICMP (pings) с этим.
Если вы намерены блокировать пинги с помощью своих списков контроля доступа, вам придется фактически применить эти списки контроля доступа к интерфейсу с помощью команды типа:, ip access-group 101 inнаходясь в области конфигурации конкретной VLAN.