Switch с 2 VLANами соединён транком с Cisco Router.Cisco Router имеет 2 VLAN Сабинтерфейса:
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.1
encapsulation dot1Q 10
ip address 192.168.10.0 255.255.255.0
!
interface FastEthernet0/0.2
encapsulation dot1Q 20
ip address 192.168.20.0 255.255.255.0
Оба VLANа имеют доступ к интернету через cisco router.
Цель: полная блокировка трафика между VLANами 10 и 20 в целях безопасности.
VLAN 10 - бугалтерия
VLAN 20 - программисты
С extended ACL можно блокировать только определённые протоколы (IP, ICMP, TCP, IP,...)
Если заблокирую толкьо известные протоколы(IP, ICMP), то это ведь не гарантирует 100% изоляции этих VLANов друг от друга? Поэтому хотелось бы заблокировать между этими VLANами все возможные протоколы.
Как можно это реализовать, чтобы при этом на интерфейсах не применять стандартные ACL? Причина почему стандартный ACL не желанный: Вдруг прийдётся открыть определённые порты для доступа с интеренета к VLANам, а при стандартных ACL это не возможно.
Или достаточно заблокировать IP, ICMP протоколы для изоляции VLAN 10 от VLAN 20?