Announcement

**tranmyphuc** · 22-08-2008, 11:03 PM

Chào !!!
Mình thấy vấn đề của bạn đã được giải quyết tại đây :http://www.vnpro.org/forum/showthread.php?t=5888

Tuy nhiên mình xin rút gọn lại cách cấu hình để bạn dễ dàng nắm bắt (5 bước cơ bản nhất):
Bước 1 : Cấu hình một ip access-list :

Code:

ip access-list [B]{standard | extended}[/B] acl-name

Lưu ý :
Permit : tương ứng với bạn quan tâm đến dãy ip đó.
Deny : tương ứng với bạn không quan tâm đến dãy ip đó.
Quan tâm tương ứng với nó sẽ thực hiện theo câu lệnh action điều khiển.

Ví dụ : bạn quan tâm đến dãy ip x-y không quan tâm đến dãy ip a-b , action là : action drop .
=> x-y sẽ bị drop còn a-b cũng sẽ bị drop nếu như bạn không cấu hình thêm 1 access-map với action forward cho nó..

Bước 2 : Định nghĩa một Vlan -access map bằng câu lệnh :
vlan access-map map_name[0-65535]

Vấn đề đặt ra là bạn cũng có thể không cần gán số thứ tự từ [0-65535] , switch sẽ tự tạo. Trường hợp dùng số khi nào bạn dùng map-name chung cho nhiều access-map khi đó nó sẽ gán một số mà bật tăng lần lượt lên 10 đơn vị. Ví dụ : 10, 20, 30...

Bước 3: Cấu hình một "match clause". Định nghĩa ra một mệnh đề liên hệ giữa vlan-acesslist và ip access-list ở trên :

Code:

 [B]match ip address[/B][COLOR=Black] {[/COLOR][COLOR=Black]acl_number[/COLOR][COLOR=Black] | [/COLOR][I]acl_name[/I][COLOR=Black]}[/COLOR]

hay tổng quát nhất là câu lệnh :

Code:

match {ip | mac} address {name |
number} [name | number]

Bước 4: Cấu hình "hành động mà switch sẽ làm với vlan-access map ở trên

Code:

[B]action [/B]{drop | forward}

Lưu ý :
1) Bạn có thể không cần đánh cụ thể là drop hay forward mặc định không chọn nó sẽ lấy hành động là forward

Ví dụ :

Code:

Switch(config)# ip access-list extended ip1
Switch(config-ext-nacl)# permit tcp any any
Switch(config-ext-nacl)# exit
Switch(config)# vlan access-map map_1 10
Switch(config-access-map)# match ip address ip1
Switch(config-access-map)# action drop

Code:

Switch(config)# ip access-list extended ip2
Switch(config-ext-nacl)# permit udp any any
Switch(config-ext-nacl)# exit
Switch(config)# vlan access-map map_1 20
Switch(config-access-map)# match ip address ip2
Switch(config-access-map)# action forward

Bước 5 : apply một vlan-map vào một vlan (bước này quan trọng và học viên thường hay quên)
vlan filter mapname vlan-list list
Lưu ý :
- Chúng ta có thể apply 1 vlan-map vào nhiều vlan
- list (ở trên ) có thể là : 1 vlan (20), range vlan (10-20), vlan tùy chọn (10,25,30,36)

Chúc vui !!!

**binhhd** · 22-08-2008, 11:29 PM

Originally posted by ln.caotri View Post

Vnpro(config)#ip access-list extended VnproBlock1
Vnpro(config-ext-nacl)#permit tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet
=> Wildcard Mask trong ACL trên tương đương với subnet là: 192.168.10.0/28, như vậy sẽ match tất cả telnet packet từ subnet 192.168.10.0/28 (tương đương 192.168.10.1->192.168.10.15) đến IP 192.168.10.254
Vnpro(config-ext-nacl)#exit

Vnpro(config)#vlan access-map VnproMap1 20
Vnpro(config-access-map)#match ip address VnproBlock1
Vnpro(config-access-map)#action drop
Vnpro(config-access-map)#exit
=>ý nghĩa của VLAN Access-map trên là: nếu packet nào match ACL trên (telnet packet từ subnet 192.168.10.0/28 đến ip 192.168.10.254 thì sẽ drop (deny))
!bạn lưu ý, vlan-access-map trên phải có thêm 1 dòng nữa là
Vnpro(config)#vlan access-map VnproMap1 100
Vnpro(config-access-map)#action forward
!nếu không có dòng trên thì mặc định vlan-access-map sẽ drop tất cả traffic

Mục đích của những câu lệnh này là không cho phép range ip : 192.168.10.1 - 192.168.10.15 đuoc telnet đến 192.168.10.254

Cho mình hỏi tại sao lại cấu hình như vậy???
vì yêu cầu trên filter traffic của các host trong cùng một VLAN (cùng subnet) nên phải dùng đến tính năng Vlan Acces-list
Thanks!

hi bạn,
bạn xem comments trên nhé!

**ln.caotri** · 23-08-2008, 12:53 AM

Cám ơn rất nhiều,
Mình có thêm thắc mắc là tại sao muốn cấm lại dùng câu lệnh "permit tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet"

Có thể câu lệnh "deny tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet" thay thế ko??

Thanks!

**tranmyphuc** · 23-08-2008, 01:45 AM

Originally posted by ln.caotri View Post

Cám ơn rất nhiều,
Mình có thêm thắc mắc là tại sao muốn cấm lại dùng câu lệnh "permit tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet"

Có thể câu lệnh "deny tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet" thay thế ko??

Thanks!

Chào !!!

Mình có thêm thắc mắc là tại sao muốn cấm lại dùng câu lệnh "permit tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet"

Bạn xem cụ thể ở trên mình có ghi ,

Lưu ý :
Permit : tương ứng với bạn quan tâm đến dãy ip đó.
Deny : tương ứng với bạn không quan tâm đến dãy ip đó.
Quan tâm tương ứng với nó sẽ thực hiện theo câu lệnh action điều khiển.

Ví dụ : bạn quan tâm đến dãy ip x-y không quan tâm đến dãy ip a-b , action là : action drop .
=> x-y sẽ bị drop còn a-b cũng sẽ bị drop nếu như bạn không cấu hình thêm 1 access-map với action forward cho nó.

Có thể câu lệnh "deny tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet" thay thế ko??

Giả sử tình huống của bạn là mong muốn : chỉ duy nhất có địa chỉ 192.168.10.0 0.0.0.15 được telnet đến host 192.168.10.254. Các Ip còn lại cấm hết:permit ip any any
deny tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet
permit ip any any

Khi đó bạn tạo ra 2 access-map
access-map 10 : bạn quan tâm đến những thằng còn lại sau khi lọai bỏ 192.168.10.0 0.0.0.15 => action là drop

Cái không quan tâm, tạo thêm access-map 20 nữa (những thằng còn lại sau khi xét ở trên tức là bạn còn lại mạng 192.168.10.0 0.0.0.15 ) bạn cho action của nó là forward !!

Cấu hình sẽ như sau :
Vnpro(config)#ip access-list extended phuc
Vnpro(config-ext-nacl)#deny tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet
Vnpro(config-ext-nacl)#permit ip any any
Vnpro(config-ext-nacl)#exit

Code:

Vnpro(config)#vlan access-map phuc_dep 10
Vnpro(config-access-map)#match ip address phuc
Vnpro(config-access-map)#action [B]drop [/B]
Vnpro(config-access-map)#exit
Vnpro(config)#vlan access-map phuc_dep 20
Vnpro(config-access-map)#match ip address phuc
Vnpro(config-access-map)#action [B]forward[/B]
Vnpro(config-access-map)#exit

Chúc vui !!!

**binhhd** · 23-08-2008, 02:59 PM

Originally posted by ln.caotri View Post

Cám ơn rất nhiều,
Mình có thêm thắc mắc là tại sao muốn cấm lại dùng câu lệnh "permit tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet"

Có thể câu lệnh "deny tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet" thay thế ko??

Thanks!

ACL trong VLAN Access-map chỉ có chức năng match traffic, còn thực sự "cấm" hay "cho phép" là ở câu lệnh action trong vlan access-map, nếu action là "forward" thì "cho phép" còn action là "drop" thì "cấm"

**khunglongnhi** · 23-10-2008, 05:59 PM

Chào thầy Binhhd và các bạn,

Trên con 6509 không có những lệnh đó thì làm sao?
Ở Layer 3, chỉ có lệnh ip access-list .....
Những gì thuộc về vlan thì làm ở Layer 2, nhưng trong catos lại không có vlan access-map hay vlan filter hay set vlan access-map hay set vlan filter.
Vậy ở CatOS thì dùng những tập lệnh gì để config vlan ACL ?
Trên Router, ACL dùng để filter dòng dữ liệu theo hướng vào và ra (IN, OUT)
Sao vlan ACL không có khái niệm IN OUT vậy thầy Bình?

khunglongnhi có một bài toán như sau cần giải quyết trên con 6509:
Chỉ cho phép vlan 10 giao tiếp với vlan default (vlan 1), ngoài ra không được giao tiếp với các vlan khác.
Vậy cần những tập lệnh nào trên con 6509?

khunglongnhi đã định giải quyết bài toán trên với vlan ACL nhưng con 6509 lại không có những lệnh như trên

**khunglongnhi** · 31-10-2008, 02:23 PM

không ai giúp mình ư?

**phananhkhoa** · 31-10-2008, 06:31 PM

giup gi trui!
diễn đàn nhiu nhiu lem ma ban!

**tranmyphuc** · 04-11-2008, 06:29 PM

Originally posted by khunglongnhi View Post

Chào thầy Binhhd và các bạn,

Trên con 6509 không có những lệnh đó thì làm sao?
Ở Layer 3, chỉ có lệnh ip access-list .....
Những gì thuộc về vlan thì làm ở Layer 2, nhưng trong catos lại không có vlan access-map hay vlan filter hay set vlan access-map hay set vlan filter.
Vậy ở CatOS thì dùng những tập lệnh gì để config vlan ACL ?
Trên Router, ACL dùng để filter dòng dữ liệu theo hướng vào và ra (IN, OUT)
Sao vlan ACL không có khái niệm IN OUT vậy thầy Bình?

khunglongnhi có một bài toán như sau cần giải quyết trên con 6509:
Chỉ cho phép vlan 10 giao tiếp với vlan default (vlan 1), ngoài ra không được giao tiếp với các vlan khác.
Vậy cần những tập lệnh nào trên con 6509?

khunglongnhi đã định giải quyết bài toán trên với vlan ACL nhưng con 6509 lại không có những lệnh như trên

Chào bạn,
Trên COS , bạn cần làm 4 bước để tạo VLAN ACLs:
Bước 1 : Cấu hình 1 ACls:

Code:

set security acl ip {acl_name} {permit | deny |
 redirect mod/port} {protocol} {sourceaddress mask}
 [op] [srcport] {dest mask} [op] [destport] [before
 editbuffer_index | modify editbuffer_index] [log]

(Tương ứng với cấu hình ip acls trên IOS

Bước 2 :Chuyển giao ACls vào TCAM

Code:

commit security acl {name | all}

Bước 3: Map ACLs vào Vlan

Code:

set security acl map acl_name vlan

Mọi thắc mắc bạn có thể liên hệ tranmyphuc@wimaxpro.org hoặc post trực tiếp tại topic này.
Chúc vui .

**khunglongnhi** · 20-11-2008, 03:14 PM

Cám ơn admin rất nhiều.
Sau bao lâu chờ đợi, thật là vui.
Mình sẽ ứng dụng liền.

Nhưng sao admin nói 4 bước mà mới post có 3 vậy?
Mình chưa thấy lệnh nào tương ứng drop / forward như bên IOS sau khi đã match acls

**bluegreen** · 13-01-2009, 10:14 AM

Originally posted by binhhd View Post

ACL trong VLAN Access-map chỉ có chức năng match traffic, còn thực sự "cấm" hay "cho phép" là ở câu lệnh action trong vlan access-map, nếu action là "forward" thì "cho phép" còn action là "drop" thì "cấm"

Hi anh binhhd,

em làm mà thiếu câu match trong vlan access-map thì nó báo lỗi thế này

Core-6506-01(config)#vlan access-map VLAN10_MAP 20
Core-6506-01(config-access-map)#action forward
Core-6506-01(config-access-map)#exit
%FM-VACL: Missing/Invalid match clause - Map VLAN10_MAP sequence 20 is removed

Nhưng làm thêm 1 ACL nữa rùi match nó vào thì OK

Core-6506-01(config)#vlan access-map VLAN10_MAP 20
Core-6506-01(config-access-map)#match ip add 110
Core-6506-01(config-access-map)#action forward
Core-6506-01(config-access-map)#exit

==> OK

Thiếu cái match là bị lỗi àh?

Thanks

**tranmyphuc** · 13-01-2009, 10:44 AM

Originally posted by bluegreen View Post

Hi anh binhhd,

em làm mà thiếu câu match trong vlan access-map thì nó báo lỗi thế này

Core-6506-01(config)#vlan access-map VLAN10_MAP 20
Core-6506-01(config-access-map)#action forward
Core-6506-01(config-access-map)#exit
%FM-VACL: Missing/Invalid match clause - Map VLAN10_MAP sequence 20 is removed

Nhưng làm thêm 1 ACL nữa rùi match nó vào thì OK

Core-6506-01(config)#vlan access-map VLAN10_MAP 20
Core-6506-01(config-access-map)#match ip add 110
Core-6506-01(config-access-map)#action forward
Core-6506-01(config-access-map)#exit

==> OK

Thiếu cái match là bị lỗi àh?

Thanks

Chào bạn,
Bạn có thể xem thêm dưới đây :
Chào !!!
Mình thấy vấn đề của bạn đã được giải quyết tại đây :http://www.vnpro.org/forum/showthread.php?t=5888

Tuy nhiên mình xin rút gọn lại cách cấu hình để bạn dễ dàng nắm bắt (5 bước cơ bản nhất):
Bước 1 : Cấu hình một ip access-list :

Code:

ip access-list [B]{standard | extended}[/B] acl-name

Lưu ý :
Permit : tương ứng với bạn quan tâm đến dãy ip đó.
Deny : tương ứng với bạn không quan tâm đến dãy ip đó.
Quan tâm tương ứng với nó sẽ thực hiện theo câu lệnh action điều khiển.

Ví dụ : bạn quan tâm đến dãy ip x-y không quan tâm đến dãy ip a-b , action là : action drop .
=> x-y sẽ bị drop còn a-b cũng sẽ bị drop nếu như bạn không cấu hình thêm 1 access-map với action forward cho nó..

Bước 2 : Định nghĩa một Vlan -access map bằng câu lệnh :
vlan access-map map_name[0-65535]

Vấn đề đặt ra là bạn cũng có thể không cần gán số thứ tự từ [0-65535] , switch sẽ tự tạo. Trường hợp dùng số khi nào bạn dùng map-name chung cho nhiều access-map khi đó nó sẽ gán một số mà bật tăng lần lượt lên 10 đơn vị. Ví dụ : 10, 20, 30...

Bước 3: Cấu hình một "match clause". Định nghĩa ra một mệnh đề liên hệ giữa vlan-acesslist và ip access-list ở trên :

Code:

 [B]match ip address[/B][COLOR=Black] {[/COLOR][COLOR=Black]acl_number[/COLOR][COLOR=Black] | [/COLOR][I]acl_name[/I][COLOR=Black]}[/COLOR]

hay tổng quát nhất là câu lệnh :

Code:

match {ip | mac} address {name |
number} [name | number]

Bước 4: Cấu hình "hành động mà switch sẽ làm với vlan-access map ở trên

Code:

[B]action [/B]{drop | forward}

Lưu ý :
1) Bạn có thể không cần đánh cụ thể là drop hay forward mặc định không chọn nó sẽ lấy hành động là forward

Ví dụ :

Code:

Switch(config)# ip access-list extended ip1
Switch(config-ext-nacl)# permit tcp any any
Switch(config-ext-nacl)# exit
Switch(config)# vlan access-map map_1 10
Switch(config-access-map)# match ip address ip1
Switch(config-access-map)# action drop

Code:

Switch(config)# ip access-list extended ip2
Switch(config-ext-nacl)# permit udp any any
Switch(config-ext-nacl)# exit
Switch(config)# vlan access-map map_1 20
Switch(config-access-map)# match ip address ip2
Switch(config-access-map)# action forward

Bước 5 : apply một vlan-map vào một vlan (bước này quan trọng và học viên thường hay quên)
vlan filter mapname vlan-list list
Lưu ý :
- Chúng ta có thể apply 1 vlan-map vào nhiều vlan
- list (ở trên ) có thể là : 1 vlan (20), range vlan (10-20), vlan tùy chọn (10,25,30,36)

Bạn thấy đấy nếu không có sự liên hệ giữa ip accesslist và vlan access-list thì Switch sẽ không thể nào biết mình đang xét dãy IP nào
Chúc bạn vui vẻ.

**ngthfong** · 19-02-2009, 10:47 PM

Cho em hỏi khi nào thì dùng ACL đơn thuần, khi nào thì dùng VLAN ACLs?

**khunglongnhi** · 25-08-2009, 05:37 PM

Chào các bác,

Em có một bài toán là:

cấm dãy ip 192.168.1.0 / 24 không được truy xuất vào dãy 192.168.100.0 /24 (thuộc vlan 2). nhưng lại cho phép 15 máy đầu trong dãy 192.168.1.0 được phép truy xuất.

Mình tạo 1 ACL:

set sec acl ip test permit ip 192.168.1.0 0.0.0.240 192.168.100.0 0.0.0.255
set sec acl ip test deny ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255
set sec acl ip test permit ip any any
commit
set sec acl map test 2

Kết qủa là chạy không như ý muốn. nguyên 1 dãy ip đó đều bị chặn, không có ip nào truy xuất được vào vlan 2 (192.168.100.x)

Anh em nào biết xin chỉ giúp mình nhé.
Cám ơn rất nhiều

Announcement

Access list trên Vlan

Access list trên Vlan

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment