Da har jeg løst det, og i høflighetens navn poster jeg løsningen her.
Jeg er selvlært, så dere guruene får beklage min simple forklaring:
Når en IP pakke routes videre, så endres source-adressen i pakken til routerens adresse, dette skjer i hver "hop" i en routing, så man må tenke omvendt: I stedet for å sperre pakker fra en adresse, så sperrer man heller alle utgående ting som er adressert til nettverk man ikke skal ha tilgang til. Du ser i ACL listene nedenfor at det er spesifisert f.eks deny ip
any 192.168.2.0, så alle pakker som skal til 192.168.2.0 blir droppet.
Jeg dreit meg litt ut på ACL entryene, når du spesifiserer source/destination IP så er det ikke nettmasker som spesifiseres etter IP, men noe cisco kaller "Wildcard masks", som er det stikk motsatte av en nettmaske: 0 betyr at bit'en må stemme, 1 betyr at bit'en er likegyldig.
Wiki: Wildcard mask
Kode
vlan database
vlan 100,200
ip dhcp server
ip dhcp pool network "VLAN 100"
address low 192.168.1.100 high 192.168.1.254 255.255.255.0
exit
ip dhcp pool network "VLAN 200"
address low 192.168.2.100 high 192.168.2.254 255.255.255.0
exit
ip access-list extended VLAN-100-NO
deny ip any 192.168.2.0 0.0.0.255 ace-priority 10
exit
ip access-list extended VLAN-200-NO
deny ip any 192.168.1.0 0.0.0.255 ace-priority 10
exit
interface vlan 100
name "VLAN 100"
ip address 192.168.1.17 255.255.255.0
service-acl input VLAN-100-NO default-action permit-any
!
interface vlan 200
name "VLAN 200"
ip address 192.168.2.17 255.255.255.0
service-acl input VLAN-200-NO default-action permit-any
!
interface gigabitethernet1
switchport mode access
switchport access vlan 100
!
interface gigabitethernet2
switchport mode access
switchport access vlan 200
!
exit
I stedet for å ha en regel på tillat trafikk inn, tar jeg å lager regler for å nekte viss trafikk ut (til andre vlan) og slippe resten igjennom.
Sist endret av Dodecha; 8. januar 2018 kl. 15:55.