我正在嘗試隔離 VLAN 上的流量,因為其中一個是我們的訪客 VLAN(VLAN 3 是訪客 LAN)。它是 Cisco 881W 路由器。
這是我的 VLAN 配置:
介面VLAN2 IP 位址 10.10.100.1 255.255.255.0 沒有IP重定向 沒有ip不可達 沒有 ip 代理 arp ip 流量入口 ip nat 裡面 ip 虛擬重組 區域成員安全區域內 ! 接口 Vlan3 IP 位址 10.100.10.1 255.255.255.0 沒有IP重定向 沒有ip不可達 沒有 ip 代理 arp ip 流量入口 ip nat 裡面 ip 虛擬重組 區域成員安全區域內 !
這是我的 ACL
存取清單 1 備註 INSIDE_IF=Vlan1 存取清單 1 備註 CCP_ACL 類別=2 存取清單 1 允許 10.10.10.0 0.0.0.255 存取清單 2 備註 CCP_ACL 類別=2 存取清單 2 許可 10.10.10.0 0.0.0.255 存取清單 3 備註 CCP_ACL 類別=2 存取清單 3 允許 10.10.100.0 0.0.0.255 存取清單 4 備註 CCP_ACL 類別=2 存取清單 4 允許 10.100.10.0 0.0.0.255 存取清單 100 備註 CCP_ACL 類別=128 存取清單 100 允許 ip 主機 255.255.255.255 任何 存取清單 100 允許 ip 127.0.0.0 0.255.255.255 任何 存取清單 100 允許 ip 70.22.148.0 0.0.0.255 任何 存取清單 101 允許 ip 10.100.10.0 0.0.0.255 10.100.10.0 0.0.0.255 存取清單 101 拒絕 icmp 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 存取清單 101 拒絕 ip 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 存取清單 102 允許 ip 主機 255.255.255.255 任何
一旦我加入ip access-group 101 in到 VLAN 3,VLAN 3 就無法再離開路由器了。 VLAN 3 可透過 10.100.10.1 對路由器執行 ping 操作,且無法再從 VLAN 3 對路由器執行 ping 操作(所需)。
更新: 我還必須添加
access-list 10 permit udp any any eq bootpc
access-list 10 permit udp any any eq bootps
使 DHCP 工作
答案1
為了解決無法存取 Internet 的問題,您沒有允許 10.100.10.0/24 到 0.0.0.0/0 的允許規則。如果您只是想拒絕 10.100.10.0/24 網路對 10.10.100.0/24 網路的訪問,您希望訪問清單像這樣工作(按此順序):
1) 拒絕 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 2) 允許 10.100.10.0 0.0.0.255 任意
答案2
作為免責聲明,我不熟悉區域安全。然而,乍一看,您似乎正在允許 ICMP (ping)。
如果您打算使用 ACL 封鎖 ping,則必須使用下列命令將這些 ACL 實際套用到介面:ip access-group 101 in在特定 VLAN 的設定區域中。