我有一个思科3825路由器,(除其他外)function作为互联网的网关。 我有两个VLAN,但只有其中一个应该可以访问互联网。
VLAN10: network = x:y:z:10::/64 (NO internet access) VLAN20: network = x:y:z:20::/64 (internet access) 这是我当前configuration的重要部分:
interface FastEthernet0/0/0 description *** Shared LAN connection for all VLANs switchport trunk allowed vlan 1,10,20 switchport mode trunk interface Vlan10 description *** LAN with NO internet access ipv6 address x:y:z:10::1/64 interface Vlan20 description *** LAN with internet access ipv6 address x:y:z:20::1/64 interface GigabitEthernet0/0 description *** The actual internet connection ipv6 address a:b:c:d::1/64 ipv6 route x:y:z:10::/64 Vlan10 ipv6 route x:y:z:20::/64 Vlan20 ipv6 route ::/0 GigabitEthernet0/0 n:e:x:t:h:o:p:1
问题是路由器在两个VLAN上发送两个networking的邻居请求消息,使得主机从两个networking获得IPv6全球单播地址,这防止了我需要的子网隔离。 例如,Vlan20上的主机获取地址x:y:z:10 :: something / 64和x:y:z:20 :: something / 64,最终可能会使用第一个访问互联网因为configuration中的ipv6路由规范。
我已经尝试了各种ACL,但我还没有find一个允许我过滤networking请求数据包的内容。
有没有办法来防止这些“错误的”NS消息? 或者,我可以尝试一种不同的方法吗?
编辑:
更深入的数据包分析告诉我,NS消息不是原因,而是从Cisco路由器发送到主机的路由器通告消息。 但是,这并不能帮助我解决问题。 我仍然需要“过滤”不属于该特定Vlan的子网。
问题解决了。 原来问题不在于思科,而在于客户端交换机(Netgear ProSafe)。 这是不正确的configuration,以便合并VLAN,从而使我的电脑接收来自Cisco路由器的所有RA消息。