Tweet
LAB THỰC HIỆN CẤU HÌNH DANH SÁCH KIỂM SOÁT TRUY CẬP VLAN ( VACL )
Vnpro sẽ tạo ra một mô hình mạng dể mô phỏng:
Trên switch tạo VLAN 10 và gán các cổng vào VLAN
Switch# conf t
Switch(config)# vlan 10
Switch(config)# interface e0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# exit
Switch(config)# interface e0/2
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# exit
Switch(config)# interface e0/0
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# exit
Tiếp theo ta sẽ tạo một Extended Access-List. Lưu lượng từ bất kỳ nguồn nào đến địa chỉ IP đích 192.168.1.100 cần phải khớp với danh sách kiểm soát truy cập (ACL).
Switch# conf t
Switch(config)# access-list 100 permit ip any host 192.168.1.100
Bước tiếp theo là tạo VACL. Trong ví dụ này, VACL được đặt tên là "NOT-TO-SERVER"
Switch(config)# vlan access-map NOT-TO-SERVER 10
Switch(config-access-map)# match ip address 100
Switch(config-access-map)# action drop
Switch(config-access-map)# vlan access-map NOT-TO-SERVER 20
Switch(config-access-map)# action forward
Switch(config)#exit
Giải thích :
Switch(config)# vlan filter NOT-TO-SERVER vlan-list 10
Kiểm tra lại kết quả
H1 ping cho H2
H1 ping cho Server
Tiếp theo sẽ chạy một lệnh tạo một MAC ACL cho phép các gói tin IPv6 (EtherType 0x86DD). Nếu dùng với hành động "deny", nó có thể chặn IPv6 trên switch, chỉ cho phép IPv4 hoạt động.
Switch(config)# ipv6 access-list BLOCK-IPV6
Switch(config-ipv6-acl)# deny ipv6 any any
Switch(config-ipv6-acl)# permit ipv6 any any
Tiếp theo chặn IPv6 trên VLAN bằng cách lọc theo EtherType (0x86DD) trong MAC ACL.
Switch(config)#vlan access-map BLOCK-IPV6 10
Switch(config-access-map)#match mac address NO-IPV6
Switch(config-access-map)#action drop
Switch(config-access-map)#vlan access-map BLOCK-IPV6 20
Switch(config-access-map)#action forward
Tiếp theo ta áp dụng VLAN Access Map BLOCK-IPV6 cho VLAN 20, giúp lọc lưu lượng IPv6 trên VLAN này.
Switch(config)#vlan filter BLOCK-IPV6 vlan-list 20
Sau khi cấu hình xong hãy dùng lệnh sau để lưu cấu hình:
Switch#wr
Kiểm tra bằng lệnh show run trên Switch
Vnpro sẽ tạo ra một mô hình mạng dể mô phỏng:
Switch# conf t
Switch(config)# vlan 10
Switch(config)# interface e0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# exit
Switch(config)# interface e0/2
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# exit
Switch(config)# interface e0/0
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# exit
Tiếp theo ta sẽ tạo một Extended Access-List. Lưu lượng từ bất kỳ nguồn nào đến địa chỉ IP đích 192.168.1.100 cần phải khớp với danh sách kiểm soát truy cập (ACL).
Switch# conf t
Switch(config)# access-list 100 permit ip any host 192.168.1.100
Bước tiếp theo là tạo VACL. Trong ví dụ này, VACL được đặt tên là "NOT-TO-SERVER"
Switch(config)# vlan access-map NOT-TO-SERVER 10
Switch(config-access-map)# match ip address 100
Switch(config-access-map)# action drop
Switch(config-access-map)# vlan access-map NOT-TO-SERVER 20
Switch(config-access-map)# action forward
Switch(config)#exit
Giải thích :
- Vlan access-map NOT-TO-SERVER 10 : Tạo một VLAN access map có tên NOT-TO-SERVER, với thứ tự ưu tiên là 10.
- Match ip address 100 : Chỉ định rằng VLAN access map này sẽ áp dụng cho các gói tin khớp với Access Control List (ACL) 100.
- Action drop: Hành động đối với các gói tin phù hợp với ACL 100 là drop (chặn).
- Vlan access-map NOT-TO-SERVER 20:Tạo một rule tiếp theo trong VLAN access map với thứ tự ưu tiên 20.
- Action forward : Hành động mặc định là forward (cho phép lưu thông các gói tin không bị rule trước đó chặn).
Switch(config)# vlan filter NOT-TO-SERVER vlan-list 10
Kiểm tra lại kết quả
H1 ping cho H2
H1 ping cho Server
Tiếp theo sẽ chạy một lệnh tạo một MAC ACL cho phép các gói tin IPv6 (EtherType 0x86DD). Nếu dùng với hành động "deny", nó có thể chặn IPv6 trên switch, chỉ cho phép IPv4 hoạt động.
Switch(config)# ipv6 access-list BLOCK-IPV6
Switch(config-ipv6-acl)# deny ipv6 any any
Switch(config-ipv6-acl)# permit ipv6 any any
Tiếp theo chặn IPv6 trên VLAN bằng cách lọc theo EtherType (0x86DD) trong MAC ACL.
Switch(config)#vlan access-map BLOCK-IPV6 10
Switch(config-access-map)#match mac address NO-IPV6
Switch(config-access-map)#action drop
Switch(config-access-map)#vlan access-map BLOCK-IPV6 20
Switch(config-access-map)#action forward
Tiếp theo ta áp dụng VLAN Access Map BLOCK-IPV6 cho VLAN 20, giúp lọc lưu lượng IPv6 trên VLAN này.
Switch(config)#vlan filter BLOCK-IPV6 vlan-list 20
Sau khi cấu hình xong hãy dùng lệnh sau để lưu cấu hình:
Switch#wr
Kiểm tra bằng lệnh show run trên Switch