Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Lab cấu hình danh sách kiểm soát truy cập vlan ( vacl )

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Lab cấu hình danh sách kiểm soát truy cập vlan ( vacl )

    LAB THỰC HIỆN CẤU HÌNH DANH SÁCH KIỂM SOÁT TRUY CẬP VLAN ( VACL )

    Vnpro sẽ tạo ra một mô hình mạng dể mô phỏng:
    ​​
    Trên switch tạo VLAN 10 và gán các cổng vào VLAN

    Switch# conf t

    Switch(config)# vlan 10
    Switch(config)# interface e0/1
    Switch(config-if)# switchport mode access
    Switch(config-if)# switchport access vlan 10
    Switch(config-if)# exit

    Switch(config)# interface e0/2
    Switch(config-if)# switchport mode access
    Switch(config-if)# switchport access vlan 10
    Switch(config-if)# exit

    Switch(config)# interface e0/0
    Switch(config-if)# switchport mode access
    Switch(config-if)# switchport access vlan 10
    Switch(config-if)# exit​


    Tiếp theo ta sẽ tạo một Extended Access-List. Lưu lượng từ bất kỳ nguồn nào đến địa chỉ IP đích 192.168.1.100 cần phải khớp với danh sách kiểm soát truy cập (ACL).

    Switch# conf t
    Switch(config)# access-list 100 permit ip any host 192.168.1.100


    Bước tiếp theo là tạo VACL. Trong ví dụ này, VACL được đặt tên là "NOT-TO-SERVER"

    Switch(config)# vlan access-map NOT-TO-SERVER 10
    Switch(config-access-map)# match ip address 100
    Switch(config-access-map)# action drop
    Switch(config-access-map)# vlan access-map NOT-TO-SERVER 20
    Switch(config-access-map)# action forward
    Switch(config)#exit


    Giải thích :
    • Vlan access-map NOT-TO-SERVER 10 : Tạo một VLAN access map có tên NOT-TO-SERVER, với thứ tự ưu tiên là 10.
    • Match ip address 100 : Chỉ định rằng VLAN access map này sẽ áp dụng cho các gói tin khớp với Access Control List (ACL) 100.
    • Action drop: Hành động đối với các gói tin phù hợp với ACL 100 là drop (chặn).
    • Vlan access-map NOT-TO-SERVER 20:Tạo một rule tiếp theo trong VLAN access map với thứ tự ưu tiên 20.
    • Action forward : Hành động mặc định là forward (cho phép lưu thông các gói tin không bị rule trước đó chặn).
    Ta kích hoạt VACL NOT-TO-SERVER (được cấu hình trước đó) để kiểm soát lưu lượng bên trong VLAN 10.

    Switch(config)# vlan filter NOT-TO-SERVER vlan-list 10

    Kiểm tra lại kết quả
    H1 ping cho H2


    H1 ping cho Server


    Tiếp theo sẽ chạy một lệnh tạo một MAC ACL cho phép các gói tin IPv6 (EtherType 0x86DD). Nếu dùng với hành động "deny", nó có thể chặn IPv6 trên switch, chỉ cho phép IPv4 hoạt động.

    Switch(config)# ipv6 access-list BLOCK-IPV6
    Switch(config-ipv6-acl)# deny ipv6 any any
    Switch(config-ipv6-acl)# permit ipv6 any any


    Tiếp theo chặn IPv6 trên VLAN bằng cách lọc theo EtherType (0x86DD) trong MAC ACL.

    Switch(config)#vlan access-map BLOCK-IPV6 10
    Switch(config-access-map)#match mac address NO-IPV6
    Switch(config-access-map)#action drop
    Switch(config-access-map)#vlan access-map BLOCK-IPV6 20
    Switch(config-access-map)#action forward


    Tiếp theo ta áp dụng VLAN Access Map BLOCK-IPV6 cho VLAN 20, giúp lọc lưu lượng IPv6 trên VLAN này.

    Switch(config)#vlan filter BLOCK-IPV6 vlan-list 20

    Sau khi cấu hình xong hãy dùng lệnh sau để lưu cấu hình:
    Switch#wr

    Kiểm tra bằng lệnh show run trên Switch




    Email : vnpro@vnpro.org
    ---------------------------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog
Working...
X