我试图隔离在VLAN上的stream量,因为一个是我们的访客VLAN(VLAN 3是来宾局域网)。 这是一个Cisco 881W路由器。
这是我的VLANconfiguration:
接口Vlan2 IP地址10.10.100.1 255.255.255.0 没有IPredirect 没有ip unreachables 没有IP代理ARP ipstream入口 ip nat里面 IP虚拟重组 区域成员安全区域 ! 接口Vlan3 IP地址10.100.10.1 255.255.255.0 没有IPredirect 没有ip unreachables 没有IP代理ARP ipstream入口 ip nat里面 IP虚拟重组 区域成员安全区域 !
这是我的ACL
访问列表1注释INSIDE_IF = Vlan1 访问列表1注释CCP_ACL类别= 2 访问列表1许可证10.10.10.0 0.0.0.255 访问列表2注释CCP_ACL类别= 2 访问列表2许可证10.10.10.0 0.0.0.255 访问列表3注释CCP_ACL类别= 2 access-list 3 permit 10.10.100.0 0.0.0.255 访问列表4注释CCP_ACL类别= 2 访问列表4许可证10.100.10.0 0.0.0.255 访问列表100注释CCP_ACL类别= 128 access-list 100 permit ip host 255.255.255.255 any access-list 100 permit ip 127.0.0.0 0.255.255.255 any access-list 100 permit ip 70.22.148.0 0.0.0.255 any access-list 101 permit ip 10.100.10.0 0.0.0.255 10.100.10.0 0.0.0.255 access-list 101 deny icmp 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 access-list 101 deny ip 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 访问列表102允许ip主机255.255.255.255任何
只要我将ip access-group 101 in添加到VLAN 3中,VLAN 3就不能再离开路由器。 VLAN 3可以通过10.100.10.1 ping路由器,10.10.100。*不能再从VLAN 3(Desired)ping通。
更新:我也不得不补充
access-list 10 permit udp any any eq bootpc access-list 10 permit udp any any eq bootps
使DHCP工作
为了解决您无法上网的问题,您没有允许10.100.10.0/24到0.0.0.0/0的允许规则。 如果您只想拒绝从10.100.10.0/24networking访问10.10.100.0/24networking,您希望您的访问列表按照以下顺序工作(按此顺序):
1)拒绝10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 2)允许10.100.10.0 0.0.0.255任何
作为一个免责声明,我不熟悉区域安全。 不过看起来你一眼就可以看到ICMP(ping)。
如果你的目的是用你的ACL阻塞ping命令,你将不得不实际应用这些ACL到一个接口中,像这样的命令: ip access-group 101 in特定vlan的configuration区域中。