Tweet
DANH SÁCH KIỂM SOÁT TRUY CẬP VLAN ( VACL )
Danh sách kiểm soát truy cập VLAN (VACL) rất hữu ích nếu bạn muốn lọc lưu lượng truy cập trong VLAN. Vnpro sẽ đưa ra một ví dụ.
Đây là mô hình mạng:
Giả sử Vnpro muốn đảm bảo rằng hai máy tính không thể kết nối với máy chủ. Bạn có thể sử dụng Port Security để lọc địa chỉ MAC, nhưng đây không phải là một phương pháp bảo mật hiệu quả.
VnPro sẽ hướng dẫn bạn cách cấu hình VACL để hai máy tính không thể truy cập máy chủ.
Trước tiên, chúng ta cần tạo một Access List.
SW1(config)#access-list 100 permit ip any host 192.168.1.100
Bước đầu tiên là tạo một Extended Access-List. Lưu lượng từ bất kỳ nguồn nào đến địa chỉ IP đích 192.168.1.100 cần phải khớp với danh sách kiểm soát truy cập (ACL).
Bạn có thể bị nhầm lẫn khi nghĩ rằng nên sử dụng lệnh "deny" để chặn lưu lượng, nhưng thực tế không phải vậy. Bạn phải sử dụng lệnh "permit" để xác định và áp dụng bộ lọc lưu lượng trong VACL một cách chính xác.
SW1(config)#vlan access-map NOT-TO-SERVER 10
SW1(config-access-map)#match ip address 100
SW1(config-access-map)#action drop
SW1(config-access-map)#vlan access-map NOT-TO-SERVER 20
SW1(config-access-map)#action forward
Bước tiếp theo là tạo VACL. Trong ví dụ này, VACL được đặt tên là "NOT-TO-SERVER".
Bước cuối cùng là áp dụng VACL cho các VLAN mong muốn. Ở đây, VnPro áp dụng nó cho VLAN 10. Hãy kiểm tra xem nó có hoạt động hay không
Theo kết quả ta thấy H1 không còn có thể kết nối đến server.
Bạn có thể sử dụng VACLs để thực hiện nhiều tác vụ hữu ích, chẳng hạn như chặn toàn bộ lưu lượng IPv6 trong một VLAN:
SW1(config)# mac access-list extended NO-IPV6
SW1(config-ext-macl)#permit any any 0x86DD 0x000
Đầu tiên, VnPro sẽ tạo một MAC access-list để lọc theo ethertype. 0x86DD là ethertype dành cho lưu lượng IPv6.
Chú thích : 0x86DD là EtherType dành cho IPv6 trong khung Ethernet.
Chi tiết về EtherType 0x86DD:
SW1(config-access-map)#match mac address NO-IPV6
SW1(config-access-map)#action drop
SW1(config-access-map)#vlan access-map BLOCK-IPV6 20
SW1(config-access-map)#action forward
Sequence 10 sẽ khớp với lưu lượng được định nghĩa trong MAC access-list "NO-IPv6". Nó sẽ kiểm tra các Ethernet frames có ethertype 0x86DD theo quy tắc trong MAC access-list. Hành động được thực hiện là chặn lưu lượng.
Sequence 20 không có điều kiện khớp, vì vậy nó sẽ áp dụng cho toàn bộ lưu lượng còn lại. Hành động được thực hiện là chuyển tiếp lưu lượng.
Kết quả là lưu lượng IPv6 sẽ bị chặn , trong khi toàn bộ lưu lượng khác sẽ được chuyển tiếp.
SW1(config)# vlan filter BLOCK-IPV6 vlan-list 20
Bạn cần đảm bảo kích hoạt VACL trên một interface, lần này sẽ được áp dụng cho VLAN 20
Chúc mừng bạn đã thực hiện thành công VACL
Bạn có muốn kiểm tra lại trên thiết bị SW1
Danh sách kiểm soát truy cập VLAN (VACL) rất hữu ích nếu bạn muốn lọc lưu lượng truy cập trong VLAN. Vnpro sẽ đưa ra một ví dụ.
Đây là mô hình mạng:
Giả sử Vnpro muốn đảm bảo rằng hai máy tính không thể kết nối với máy chủ. Bạn có thể sử dụng Port Security để lọc địa chỉ MAC, nhưng đây không phải là một phương pháp bảo mật hiệu quả.
VnPro sẽ hướng dẫn bạn cách cấu hình VACL để hai máy tính không thể truy cập máy chủ.
Trước tiên, chúng ta cần tạo một Access List.
SW1(config)#access-list 100 permit ip any host 192.168.1.100
Bước đầu tiên là tạo một Extended Access-List. Lưu lượng từ bất kỳ nguồn nào đến địa chỉ IP đích 192.168.1.100 cần phải khớp với danh sách kiểm soát truy cập (ACL).
Bạn có thể bị nhầm lẫn khi nghĩ rằng nên sử dụng lệnh "deny" để chặn lưu lượng, nhưng thực tế không phải vậy. Bạn phải sử dụng lệnh "permit" để xác định và áp dụng bộ lọc lưu lượng trong VACL một cách chính xác.
SW1(config)#vlan access-map NOT-TO-SERVER 10
SW1(config-access-map)#match ip address 100
SW1(config-access-map)#action drop
SW1(config-access-map)#vlan access-map NOT-TO-SERVER 20
SW1(config-access-map)#action forward
Bước tiếp theo là tạo VACL. Trong ví dụ này, VACL được đặt tên là "NOT-TO-SERVER".
- Sequence number 10 sẽ kiểm tra lưu lượng khớp với access-list 100. Tất cả lưu lượng được phép trong access-list 100 sẽ được xử lý tại đây. Hành động áp dụng là chặn (drop) lưu lượng này.
- Sequence number 20 không có câu lệnh match, vì vậy nó sẽ khớp với tất cả lưu lượng. Hành động áp dụng là chuyển tiếp (forward) lưu lượng
- Kết quả là tất cả lưu lượng từ bất kỳ host nào đến địa chỉ IP đích 192.168.1.100 sẽ bị chặn, còn lại sẽ được chuyển tiếp.
Bước cuối cùng là áp dụng VACL cho các VLAN mong muốn. Ở đây, VnPro áp dụng nó cho VLAN 10. Hãy kiểm tra xem nó có hoạt động hay không
Theo kết quả ta thấy H1 không còn có thể kết nối đến server.
Bạn có thể sử dụng VACLs để thực hiện nhiều tác vụ hữu ích, chẳng hạn như chặn toàn bộ lưu lượng IPv6 trong một VLAN:
SW1(config)# mac access-list extended NO-IPV6
SW1(config-ext-macl)#permit any any 0x86DD 0x000
Đầu tiên, VnPro sẽ tạo một MAC access-list để lọc theo ethertype. 0x86DD là ethertype dành cho lưu lượng IPv6.
Chú thích : 0x86DD là EtherType dành cho IPv6 trong khung Ethernet.
Chi tiết về EtherType 0x86DD:
- EtherType là một trường trong tiêu đề Ethernet dùng để xác định giao thức của tầng mạng (Network Layer) mà gói tin đang sử dụng.
- 0x86DD tương ứng với IPv6, trong khi 0x0800 được sử dụng cho IPv4.
- Khi sử dụng trong MAC access-list như trong lệnh trên, nó giúp lọc các gói tin có EtherType = 0x86DD, tức là lọc lưu lượng IPv6.
SW1(config-access-map)#match mac address NO-IPV6
SW1(config-access-map)#action drop
SW1(config-access-map)#vlan access-map BLOCK-IPV6 20
SW1(config-access-map)#action forward
Sequence 10 sẽ khớp với lưu lượng được định nghĩa trong MAC access-list "NO-IPv6". Nó sẽ kiểm tra các Ethernet frames có ethertype 0x86DD theo quy tắc trong MAC access-list. Hành động được thực hiện là chặn lưu lượng.
Sequence 20 không có điều kiện khớp, vì vậy nó sẽ áp dụng cho toàn bộ lưu lượng còn lại. Hành động được thực hiện là chuyển tiếp lưu lượng.
Kết quả là lưu lượng IPv6 sẽ bị chặn , trong khi toàn bộ lưu lượng khác sẽ được chuyển tiếp.
SW1(config)# vlan filter BLOCK-IPV6 vlan-list 20
Bạn cần đảm bảo kích hoạt VACL trên một interface, lần này sẽ được áp dụng cho VLAN 20
Chúc mừng bạn đã thực hiện thành công VACL
Bạn có muốn kiểm tra lại trên thiết bị SW1