Blokering af trafik mellem net
HejJeg har fået fingrene i en gammel Cisco 1712 router som er opsat til at køre 3 vlans:
interface Vlan200
ip address 192.168.2.1 255.255.255.0
!
interface Vlan300
ip address 192.168.3.1 255.255.255.0
!
interface Vlan400
ip address 10.10.10.1 255.255.255.0
(De er naturligvis oprettet i VLAN databasen også)
på VLAN 200 og 300 skal kun sidde en enkelt pc på hver. Vlan 400 bliver trunket til en switch hvor der vil sidde flere pc'ere:
interface FastEthernet2
switchport access vlan 200
duplex full
speed 100
no shutdown
!
interface FastEthernet3
switchport access vlan 300
no shutdown
!
interface FastEthernet4
switchport trunk allowed vlan 1,2,400,1002-1005
switchport mode trunk
no shutdown
Indtil nu ingen problemer, jeg kan pinge imellem de forskellige net:
C 192.168.2.0/24 is directly connected, Vlan200
C 192.168.3.0/24 is directly connected, Vlan300
C 10.10.10.0 is directly connected, Vlan400
Men her opstår mit problem, jeg har forsøgt at blokere trafik imellem de 3 net ved hjælp af ACL'er, men intet hjælper det. Det er min intention at de 3 net skal isoleres fra hinanden men have internet forbindelse.
Det jeg har forsøgt med ACL'er er:
access-list 120 deny ip 192.168.3.0 0.0.0.255 any
access-list 120 deny ip 10.10.10.0 0.0.0.255 any
access-list 120 permit ip any any
og herefter sat det på VLAN 200 interfacet indgående
access-list 130 deny ip 192.168.2.0 0.0.0.255 any
access-list 130 deny ip 10.10.10.0 0.0.0.255 any
access-list 130 permit ip any any
og herefter sat det på VLAN 300 interfacet indgående
access-list 140 deny ip 192.168.2.0 0.0.0.255 any
access-list 140 deny ip 192.168.3.0 0.0.0.255 any
access-list 140 permit ip any any
og herefter sat det på VLAN 300 interfacet indgående
Problemet er bare at jeg stadig har forbindelse imellem VLAN'ene, nogen forslag til hvordan jeg blokkerer alt trafik imellem de 3 vlans?
