Cisco IOS:VLANの分離
1つはビジターVLAN(VLAN 3はゲストLAN)であるため、VLAN上のトラフィックを分離しようとしています。これはCisco881Wルーターです。
これが私のVLAN構成です:
interface Vlan2 ip address 10.10.100.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip flow ingress ip nat inside ip virtual-reassembly zone-member security in-zone ! interface Vlan3 ip address10.100。 10.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip flow ingress ip nat inside ip virtual-reassembly zone-member security in-zone !
これが私のACLです
access-list 1 remark INSIDE_IF = Vlan1 access-list 1 remark CCP_ACL Category = 2 access-list 1 permit 10.10.10.0 0.0.0.255 access-リスト2備考CCP_ACLカテゴリ= 2 アクセスリスト2許可10.10.10.00.0.0.255 アクセスリスト3備考CCP_ACLカテゴリ= 2 アクセスリスト3許可10.10.100.0 0.0.0.255 access-list 4 remark CCP_ACL Category = 2 access-list 4 permit 10.100.10.0 0.0.0.255 access-list 100 remark CCP_ACL Category = 128 access-list 100 permit ip Host 255.255.255.255 any access-list 100 permit ip 127.0.0.0 0.255.255.255 any access-list 100 permit ip 70.22.148.0 0.0.0.255 any access-list 101 permit ip 10.100.10.0 0.0.0.255 10.100.10.0 0.0.0.255 access-list 101 deny icmp 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 access-list 101 deny ip 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 access-list 102 permit ip Host 255.255.255.255 any
ip access-group 101 inをVLAN 3、VLAN 3に追加すると、ルーターから出られなくなります。VLAN 3は10.100.10.1を介してルーターにpingを実行でき、10.10.100。*はVLAN 3(Desired)からpingを実行できなくなりました。
更新: 私も追加する必要がありました
access-list 10 permit udp any any eq bootpc
access-list 10 permit udp any any eq bootps
DHCPを機能させるには
インターネットに接続できないという問題に対処するために、10.100.10.0/24から0.0.0.0/0を許可する許可ルールがありません。 10.100.10.0/24ネットワークから10.10.100.0/24ネットワークへのアクセスを単に拒否したい場合は、アクセスリストを次のように(この順序で)機能させる必要があります。
1)拒否10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 2)許可10.100.10.00.0.0.255任意
免責事項として、私はゾーンセキュリティに精通していません。ただし、一見すると、ICMP(ping)を許可しているように見えます。
ACLを使用してpingをブロックする場合は、特定のVLANの構成領域で、ip access-group 101 inのようなコマンドを使用してこれらのACLをインターフェイスに実際に適用する必要があります。