Dan*_*ain 5 cisco ios vlan access-control-list
我正在尝试隔离 VLAN 上的流量,因为其中一个是我们的访客 VLAN(VLAN 3 是访客 lan)。它是 Cisco 881W 路由器。
这是我的 VLAN 配置:
接口Vlan2 IP 地址 10.10.100.1 255.255.255.0 没有ip重定向 没有不可达的ip 没有 ip 代理-arp ip流量入口 ip nat 里面 ip 虚拟重组 区域成员安全区域内 ! 接口Vlan3 IP 地址 10.100.10.1 255.255.255.0 没有ip重定向 没有不可达的ip 没有 ip 代理-arp ip流量入口 ip nat 里面 ip 虚拟重组 区域成员安全区域内 !
这是我的 ACL
访问列表 1 备注 INSIDE_IF=Vlan1 访问列表 1 备注 CCP_ACL 类别=2 访问列表 1 许可 10.10.10.0 0.0.0.255 access-list 2 备注 CCP_ACL Category=2 访问列表 2 许可 10.10.10.0 0.0.0.255 access-list 3 备注 CCP_ACL Category=2 访问列表 3 许可 10.10.100.0 0.0.0.255 access-list 4 备注 CCP_ACL Category=2 访问列表 4 允许 10.100.10.0 0.0.0.255 访问列表 100 备注 CCP_ACL 类别=128 访问列表 100 允许 ip 主机 255.255.255.255 任何 访问列表 100 允许 ip 127.0.0.0 0.255.255.255 任何 访问列表 100 允许 ip 70.22.148.0 0.0.0.255 任何 访问列表 101 允许 ip 10.100.10.0 0.0.0.255 10.100.10.0 0.0.0.255 访问列表 101 拒绝 icmp 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 访问列表 101 拒绝 ip 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 访问列表 102 允许 ip 主机 255.255.255.255 任何
一旦我添加ip access-group 101 in到 VLAN 3,VLAN 3 就无法再离开路由器。VLAN 3 可以通过 10.100.10.1 ping 路由器,并且 10.10.100.* 不再可以从 VLAN 3(期望)ping 通。
更新: 我还必须添加
access-list 10 permit udp any any eq bootpc
access-list 10 permit udp any any eq bootps
使 DHCP 工作
小智 2
为了解决无法访问 Internet 的问题,您没有允许 10.100.10.0/24 到 0.0.0.0/0 的允许规则。如果您只是想拒绝 10.100.10.0/24 网络对 10.10.100.0/24 网络的访问,您希望访问列表像这样工作(按此顺序):
1) 拒绝 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 2) 允许 10.100.10.0 0.0.0.255 任意
| 归档时间: |
|
| 查看次数: |
1142 次 |
| 最近记录: |