Cisco IOS: Segregando VLANS

5

Estou tentando separar o tráfego nas VLANs, já que uma é nossa VLAN de visitante (a VLAN 3 é a lan de convidado). É um roteador Cisco 881W.

Aqui está minha configuração de VLAN:

interface Vlan2
 ip address 10.10.100.1 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 ip nat inside
 ip virtual-reassembly
 zone-member security in-zone
!
interface Vlan3
 ip address 10.100.10.1 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 ip nat inside
 ip virtual-reassembly
 zone-member security in-zone
!

Aqui estão minhas ACLs

access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark CCP_ACL Category=2
access-list 1 permit 10.10.10.0 0.0.0.255
access-list 2 remark CCP_ACL Category=2
access-list 2 permit 10.10.10.0 0.0.0.255
access-list 3 remark CCP_ACL Category=2
access-list 3 permit 10.10.100.0 0.0.0.255
access-list 4 remark CCP_ACL Category=2
access-list 4 permit 10.100.10.0 0.0.0.255
access-list 100 remark CCP_ACL Category=128
access-list 100 permit ip host 255.255.255.255 any
access-list 100 permit ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip 70.22.148.0 0.0.0.255 any
access-list 101 permit ip 10.100.10.0 0.0.0.255 10.100.10.0 0.0.0.255
access-list 101 deny   icmp 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255
access-list 101 deny   ip 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255
access-list 102 permit ip host 255.255.255.255 any

Assim que adicionar ip access-group 101 in à VLAN 3, a VLAN 3 não poderá mais sair do roteador. A VLAN 3 pode efetuar ping no roteador via 10.100.10.1 e 10.10.100. * Não é mais passível de ping da VLAN 3 (Desejada).

Atualização: eu também precisei adicionar

access-list 10 permit udp any any eq bootpc
access-list 10 permit udp any any eq bootps

Para tornar o trabalho DHCP

    
por Dan McClain 10.08.2010 / 14:36

2 respostas

2

Para resolver o problema de não conseguir sair para a Internet, você não tem uma regra de permissão que permita 10.100.10.0/24 a 0.0.0.0/0. Se você simplesmente quer negar acesso à rede 10.10.100.0/24 da rede 10.100.10.0/24, você quer que sua lista de acesso funcione assim (nesta ordem):

1) Negar 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 2) Permitir 10.100.10.0 0.0.0.255 qualquer

    
por 07.09.2010 / 14:53
2

Como aviso de isenção, não estou familiarizado com a segurança de zona. No entanto, parece que você está permitindo ICMP (pings) com isso.

Se você pretende bloquear os pings com suas ACLs, você terá que realmente aplicar essas ACLs a uma interface com um comando como: ip access-group 101 in enquanto estiver na área de configuração de uma vlan em particular.

    
por 10.08.2010 / 15:05