我有一个 Cisco 3825 路由器(除其他外)用作互联网网关。我有两个 VLAN,但其中只有一个应该可以访问互联网。
VLAN10: network = x:y:z:10::/64 (NO internet access)
VLAN20: network = x:y:z:20::/64 (internet access)
这是我当前配置的重要部分:
interface FastEthernet0/0/0
description *** Shared LAN connection for all VLANs
switchport trunk allowed vlan 1,10,20
switchport mode trunk
interface Vlan10
description *** LAN with NO internet access
ipv6 address x:y:z:10::1/64
interface Vlan20
description *** LAN with internet access
ipv6 address x:y:z:20::1/64
interface GigabitEthernet0/0
description *** The actual internet connection
ipv6 address a:b:c:d::1/64
ipv6 route x:y:z:10::/64 Vlan10
ipv6 route x:y:z:20::/64 Vlan20
ipv6 route ::/0 GigabitEthernet0/0 n:e:x:t:h:o:p:1
问题是路由器在两个 VLAN 上发送两个网络的邻居请求消息,使主机从两个网络中获取 IPv6 全局单播地址,从而防止我需要的子网隔离。例如,Vlan20 上的主机获取地址 x:y:z:10::something/64 和 x:y:z:20::something/64,最终可能会使用第一个访问 Internet 将失败因为配置中的 ipv6 路由规范。
我已经尝试了各种 ACL,但我还没有找到一种允许我过滤网络请求数据包内容的 ACL。
有没有办法防止这些“错误”的 NS 消息?或者我可以尝试一种不同的方法吗?
编辑:
更深入的数据包分析向我表明,原因不是 NS 消息,而是从 Cisco 路由器发送到主机的路由器广告消息。但是,这并不能帮助我解决问题。我仍然需要“过滤掉”不属于该特定 Vlan 的子网。