Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Bài toán VLAN và Access List.

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Bài toán VLAN và Access List.

    Em chào mọi người.
    Mọi người giúp em giải bài toán này với. Yêu cầu của khách hàng hơi khó một chút.

    Hệ thống bao gồm 01 Core-Switch (L3) và 5 Access-Switch (L2).
    Trên các AS có chia các VLAN cho các phòng ban. (Các VLAN này nằm ở nhiều AS khác nhau)
    Mỗi AS có 1 đường trunk kết nối về CS.
    Có 1 VLAN là VLAN quản trị.
    CS có đường kết nối ra Internet (default route)

    Yêu cầu:
    - VLAN quản trị có thể truy cập tất cả các VLAN nhưng không có chiều ngược lại.
    - Các VLAN không truy cập được sang nhau.
    - Các client trong các VLAN có Default Gateway là IP VLAN tương ứng (Cấu hình trên CS).
    - Các client được phép ra Internet

    Em dự định dùng Access-List trên CS để thực hiện những yêu cầu trên, nhưng thực sự thấy khó quá.
    Có bác nào có phương án giải quyết chỉ giúp em với.


    Thanks
    Never Gone - Never Far

  • #2
    Originally posted by nesysen View Post
    Em chào mọi người.
    Mọi người giúp em giải bài toán này với. Yêu cầu của khách hàng hơi khó một chút.

    Hệ thống bao gồm 01 Core-Switch (L3) và 5 Access-Switch (L2).
    Trên các AS có chia các VLAN cho các phòng ban. (Các VLAN này nằm ở nhiều AS khác nhau)
    Mỗi AS có 1 đường trunk kết nối về CS.
    Có 1 VLAN là VLAN quản trị.
    CS có đường kết nối ra Internet (default route)

    Yêu cầu:
    - VLAN quản trị có thể truy cập tất cả các VLAN nhưng không có chiều ngược lại.
    - Các VLAN không truy cập được sang nhau.
    - Các client trong các VLAN có Default Gateway là IP VLAN tương ứng (Cấu hình trên CS).
    - Các client được phép ra Internet

    Em dự định dùng Access-List trên CS để thực hiện những yêu cầu trên, nhưng thực sự thấy khó quá.
    Có bác nào có phương án giải quyết chỉ giúp em với.


    Thanks
    dùng VACL ( VLan access control list )
    Ngô Đào Anh Trí, CCVP in progress.
    Email: ngodaoanhtri@wimaxpro.org

    Comment


    • #3
      suy nghĩ đầu tiên của tôi là dùng private vlan.
      Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

      Email : dangquangminh@vnpro.org
      https://www.facebook.com/groups/vietprofessional/

      Comment


      • #4
        Originally posted by anhtri View Post
        dùng VACL ( VLan access control list )
        Theo em biết, chức năng VACL chỉ dùng được trên các dòng switch to (6500 Series) với phần cứng hỗ trợ. Trong Switch của em, không áp acl lên interface VLAN được, nên phương án này chắc là không được rồi.

        Với phương án dùng PVLAN, em chưa rõ về cách cấu hình để đảm bảo tất cả các yêu cầu trên. Anh Minh có thể giúp em nói rõ hơn được không ạ?


        Thanks
        Never Gone - Never Far

        Comment


        • #5
          Yêu cầu như thế này thì khong dùng PVLAN được đâu, vì yêu cầu là "các vlan không truy cập sang nhau" chứ không phải là các port cùng VLAN không truy cập được lẫn nhau. Thêm nữa lại có yêu cầu "VLAN quản trị có thể truy cập tất cả các VLAN nhưng không có chiều ngược lại" nữa.

          Không rõ yêu cầu "VLAN quản trị có thể truy cập tất cả các VLAN nhưng không có chiều ngược lại" của bạn là đối với TCP hay cả UDP và các protocol khac, nếu như chỉ là TCP thi access-list có thể giải quyết được. Còn nếu yêu cầu cả UDP thì phải dùng 1 L3 firewall làm chức năng vlan routing.


          Nếu dùng access-list là giải quyết được, bạn chỉ cần tạo riêng mỗi vlan 1 access-list (in) trong đó cấm gửi syn packet đến tất cả các VLAN ngoại trừ GW ra internet.

          Comment


          • #7
            Originally posted by dangquangminh View Post
            suy nghĩ đầu tiên của tôi là dùng private vlan.
            Không phải access switch nào cũng chia được private vlan bác ơi, chia được private vlan chắc là đã dùng được VACL rồi. Như 2950 của cơ quan tôi đang dùng chỉ có protect port được thôi.

            Comment


            • #8
              Originally posted by Alpha5 View Post
              Không phải access switch nào cũng chia được private vlan bác ơi, chia được private vlan chắc là đã dùng được VACL rồi. Như 2950 của cơ quan tôi đang dùng chỉ có protect port được thôi.
              Switch của em hỗ trợ PVLAN nhưng lại không hỗ trợ VACL. Nên phương án config bằng VACL là không thể.
              Còn PVLAN thì em thấy đúng là không đáp ứng được tất cả các yêu cầu.

              Không biết còn phương án nào không ạ?

              Thanks
              Never Gone - Never Far

              Comment


              • #9
                Tớ chả phải chuyên gia gì, thử nghĩ cách thôi. Không VACL thì cứ dùng ACL bình thường áp dụng cho các interface thôi. Tạo cái ACL ngăn không cho đến dải địa chỉ internal cần ngăn, còn lại thì cho qua tất. Áp dụng lên các interface vlan kia là được.

                Comment


                • #10
                  Originally posted by Alpha5 View Post
                  Tớ chả phải chuyên gia gì, thử nghĩ cách thôi. Không VACL thì cứ dùng ACL bình thường áp dụng cho các interface thôi. Tạo cái ACL ngăn không cho đến dải địa chỉ internal cần ngăn, còn lại thì cho qua tất. Áp dụng lên các interface vlan kia là được.
                  Hi.
                  Nếu áp được ACL lên Interface VLAN thì đó là VACL rồi bạn ơi.
                  Never Gone - Never Far

                  Comment

                  Working...
                  X