Eu tenho um roteador Cisco 3825 que (entre outras coisas) funciona como um gateway para a internet. Eu tenho duas VLANs, mas apenas uma delas deve ter acesso à internet.
VLAN10: network = x:y:z:10::/64 (NO internet access)
VLAN20: network = x:y:z:20::/64 (internet access)
Esta é a parte essencial da minha configuração atual:
interface FastEthernet0/0/0
description *** Shared LAN connection for all VLANs
switchport trunk allowed vlan 1,10,20
switchport mode trunk
interface Vlan10
description *** LAN with NO internet access
ipv6 address x:y:z:10::1/64
interface Vlan20
description *** LAN with internet access
ipv6 address x:y:z:20::1/64
interface GigabitEthernet0/0
description *** The actual internet connection
ipv6 address a:b:c:d::1/64
ipv6 route x:y:z:10::/64 Vlan10
ipv6 route x:y:z:20::/64 Vlan20
ipv6 route ::/0 GigabitEthernet0/0 n:e:x:t:h:o:p:1
O problema é que o roteador envia mensagens de solicitação do vizinho para ambas as redes em ambas as VLANs, fazendo com que os hosts recebam um endereço unicast global IPv6 de ambas as redes, o que evita a segregação de sub-rede de que preciso. Por exemplo, um host no Vlan20 obtém endereços x: y: z: 10 :: algo / 64 e x: y: z: 20 :: algo / 64 e pode acabar usando o primeiro para acessar a Internet que falhará por causa da especificação da rota ipv6 na configuração.
Eu tentei todos os tipos de ACLs, mas não encontrei nenhuma que me permita filtrar o conteúdo dos pacotes de solicitação de rede.
Existe uma maneira de evitar essas mensagens NS "defeituosas"? Ou talvez haja uma abordagem diferente que eu possa tentar?
EDITAR:
Uma análise de pacotes mais aprofundada revelou-me que não são as mensagens NS que são a causa, mas sim as mensagens de anúncio do roteador enviadas do roteador Cisco para o host. No entanto, isso não me ajuda a resolver o problema. Eu ainda preciso "filtrar" a sub-rede que não pertence a essa Vlan específica.