Коллеги, безуспешно пытаюсь настроить два VLAN на CISCO 871, так чтобы две локальные сети друг друга "не видели", но имели возможность выхода в Интернет через NAT. Перерыл кучу информации, но в основном народ борется с противоположной проблемой "подружить" сетки. Заранее благодарю за дельные советы по сабжу!

Я пробовал настраивать access-list на интерфейсах, но все равно любые пакеты спокойно проходят через маршрутизатор.

Надо изолировать Vlan1 от Vlan2.
Краткая конфа:

!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
switchport access vlan 2
!
interface FastEthernet4
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Vlan1
ip address 10.65.10.1 255.255.255.0
ip mask-reply
no ip redirects
no ip unreachables
no ip proxy-arp
ip nbar protocol-discovery
ip flow ingress
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
!
interface Vlan2
ip address 10.65.20.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Dialer0
description $FW_OUTSIDE$
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username ???? password 7 ???
!
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 10.65.10.0 255.255.255.0 Vlan1
ip route 10.65.20.0 255.255.255.0 Vlan2
!

• Как сделать изолированные VLAN на CISCO 871 c NAT?,john_32, 05:50 , 23-Июн-09
  • Как сделать изолированные VLAN на CISCO 871 c NAT?,john_32, 06:43 , 23-Июн-09
    • Как сделать изолированные VLAN на CISCO 871 c NAT?,mxkmaster, 17:44 , 23-Июн-09
      • Как сделать изолированные VLAN на CISCO 871 c NAT?,mxkmaster, 17:28 , 03-Июл-09
        • Как сделать изолированные VLAN на CISCO 871 c NAT?,vnn, 17:43 , 03-Июл-09
        • Как сделать изолированные VLAN на CISCO 871 c NAT?,Stell, 17:57 , 03-Июл-09
          • Как сделать изолированные VLAN на CISCO 871 c NAT?,mxkmaster, 19:56 , 14-Июл-09

>[оверквотинг удален]
> dialer pool 1
> dialer-group 1
> no cdp enable
> ppp authentication pap callin
> ppp pap sent-username ???? password 7 ???
>!
>ip route 0.0.0.0 0.0.0.0 Dialer0
>ip route 10.65.10.0 255.255.255.0 Vlan1
>ip route 10.65.20.0 255.255.255.0 Vlan2
>!

Приветствую, честно сказать не вижу проблемы!
все нармально решается АЦЛ на локальных интерфейсах, в вашем случае это свой АЦЛ на vl1 и vl2.
а это вообще бессмысленный кусок конфига:
/*
ip route 10.65.10.0 255.255.255.0 Vlan1
ip route 10.65.20.0 255.255.255.0 Vlan2
*/

В качестве примера: 871 у меня под руками нет, но делается это примерно так же:

interface FastEthernet0/0
ip address 10.228.0.5 255.255.255.0
ip nat outside
duplex auto
speed auto
!
interface FastEthernet0/1.1
encapsulation dot1Q 1 native
ip address 1.1.1.1 255.255.255.0
ip access-group vl1 in
ip nat inside
!
interface FastEthernet0/1.2
encapsulation dot1Q 2
ip address 2.2.2.2 255.255.255.0
ip access-group vl2 in
ip nat inside

ip route 0.0.0.0 0.0.0.0 10.228.0.1

ip nat inside source list nat1 interface FastEthernet0/0 overload
ip nat inside source list nat2 interface FastEthernet0/0 overload

ip access-list extended nat1
permit ip 1.1.1.0 0.0.0.255 any
ip access-list extended nat2
permit ip 2.2.2.0 0.0.0.255 any
ip access-list extended vl1
deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
permit ip 1.1.1.0 0.0.0.255 any
deny   ip any any
ip access-list extended vl2
deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
permit ip 2.2.2.0 0.0.0.255 any
deny   ip any any

Если не прав то поправте :)

john_32, спасибо за отклик!

ip route 10.65.10.0 255.255.255.0 Vlan1
ip route 10.65.20.0 255.255.255.0 Vlan2

Эти строчки "следы" моих экспериментов)) Где-то увидел на форумах и решил попробовать.
В общем они не помогли, но остались в конфе. Уберу, когда полностью закрою вопрос.

Я предполагаю, что все дело в тэгировании VLAN типа
encapsulation dot1Q 2

В моей конфе сейчас этого нет. Я проверю и отпишусь.

В общем такой команды "encapsulation dot1Q" в моем IOS нет.
Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M),
Version 12.4(15)T, RELEASE SOFTWARE (fc3)

Так и не удалось пока изолировать две VLAN.

>В общем такой команды "encapsulation dot1Q" в моем IOS нет.
>Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M),
>Version 12.4(15)T, RELEASE SOFTWARE (fc3)
>
>Так и не удалось пока изолировать две VLAN.

access-list 101 deny ip 10.65.10.0 0.0.0.255 10.65.20.0 0.0.0.255
access-list 101 permit ip any any

access-list 102 deny ip 10.65.20.0 0.0.0.255 10.65.10.0 0.0.0.255
access-list 102 permit ip any any

interface vlan1
  ip access-group 101 in
interface vlan2
  ip access-group 102 in

вбей.

Попробуйте так.
ip access-list extended vlan1_in
deny ip any 10.65.20.0 0.0.0.255
permit ip any any
# Запретили трафик в vlan2, Разрешили все остальное.

ip access-list extended vlan2_in
deny ip any 10.65.10.0 0.0.0.255
permit ip any any
# Тоже самое наоборот

int vlan 1
ip access-group vlan1_in in

int vlan 2
ip access-group vlan2_in in
# Приложили access-list'ы к интерфейсам.

В общем, сделал, как в двух предыдущих рекомендациях через ACL.
Все заработало. Спасибо!!

Самое обидное, что именно так все себе сам и представлял и даже вначале пытался настроить.
Но скорее всего ошибался в направлении файервола. Наверное, из-за этого ничего не получилось. Надо быть внимательнее. Еще раз спасибо всем за помощь!

Вот кусок рабочего конфига:

!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
switchport access vlan 2
!
interface Vlan1
ip address 10.65.10.1 255.255.255.0
ip access-group vlan1 in
!
interface Vlan2
ip address 10.65.20.1 255.255.255.0
ip access-group vlan2 in
!
ip access-list extended vlan1
deny   ip 10.65.20.0 0.0.0.255 2.2.2.0 0.0.0.255
permit ip 10.65.10.0 0.0.0.255 any
deny   ip any any
ip access-list extended vlan2
deny   ip 10.65.10.0 0.0.0.255 2.2.2.0 0.0.0.255
permit ip 10.65.20.0 0.0.0.255 any
deny   ip any any
!