Announcement

**anhtri** · 30-08-2007, 08:29 PM

Originally posted by nesysen View Post

Em chào mọi người.
Mọi người giúp em giải bài toán này với. Yêu cầu của khách hàng hơi khó một chút.

Hệ thống bao gồm 01 Core-Switch (L3) và 5 Access-Switch (L2).
Trên các AS có chia các VLAN cho các phòng ban. (Các VLAN này nằm ở nhiều AS khác nhau)
Mỗi AS có 1 đường trunk kết nối về CS.
Có 1 VLAN là VLAN quản trị.
CS có đường kết nối ra Internet (default route)

Yêu cầu:
- VLAN quản trị có thể truy cập tất cả các VLAN nhưng không có chiều ngược lại.
- Các VLAN không truy cập được sang nhau.
- Các client trong các VLAN có Default Gateway là IP VLAN tương ứng (Cấu hình trên CS).
- Các client được phép ra Internet

Em dự định dùng Access-List trên CS để thực hiện những yêu cầu trên, nhưng thực sự thấy khó quá.
Có bác nào có phương án giải quyết chỉ giúp em với.

Thanks

dùng VACL ( VLan access control list )

**dangquangminh** · 30-08-2007, 11:09 PM

suy nghĩ đầu tiên của tôi là dùng private vlan.

**nesysen** · 31-08-2007, 05:25 PM

Originally posted by anhtri View Post

dùng VACL ( VLan access control list )

Theo em biết, chức năng VACL chỉ dùng được trên các dòng switch to (6500 Series) với phần cứng hỗ trợ. Trong Switch của em, không áp acl lên interface VLAN được, nên phương án này chắc là không được rồi.

Với phương án dùng PVLAN, em chưa rõ về cách cấu hình để đảm bảo tất cả các yêu cầu trên. Anh Minh có thể giúp em nói rõ hơn được không ạ?

Thanks

**nausicaa** · 31-08-2007, 06:37 PM

Yêu cầu như thế này thì khong dùng PVLAN được đâu, vì yêu cầu là "các vlan không truy cập sang nhau" chứ không phải là các port cùng VLAN không truy cập được lẫn nhau. Thêm nữa lại có yêu cầu "VLAN quản trị có thể truy cập tất cả các VLAN nhưng không có chiều ngược lại" nữa.

Không rõ yêu cầu "VLAN quản trị có thể truy cập tất cả các VLAN nhưng không có chiều ngược lại" của bạn là đối với TCP hay cả UDP và các protocol khac, nếu như chỉ là TCP thi access-list có thể giải quyết được. Còn nếu yêu cầu cả UDP thì phải dùng 1 L3 firewall làm chức năng vlan routing.

Nếu dùng access-list là giải quyết được, bạn chỉ cần tạo riêng mỗi vlan 1 access-list (in) trong đó cấm gửi syn packet đến tất cả các VLAN ngoại trừ GW ra internet.

**camaptrang** · 31-08-2007, 08:10 PM

Originally posted by dangquangminh View Post

suy nghĩ đầu tiên của tôi là dùng private vlan.

He he , đanh chấp nhận đầu tư thôi ... SW3560 cho chắc ăn mà dễ dàng config...

**Alpha5** · 31-08-2007, 08:32 PM

Originally posted by dangquangminh View Post

suy nghĩ đầu tiên của tôi là dùng private vlan.

Không phải access switch nào cũng chia được private vlan bác ơi, chia được private vlan chắc là đã dùng được VACL rồi. Như 2950 của cơ quan tôi đang dùng chỉ có protect port được thôi.

**nesysen** · 31-08-2007, 11:04 PM

Originally posted by Alpha5 View Post

Không phải access switch nào cũng chia được private vlan bác ơi, chia được private vlan chắc là đã dùng được VACL rồi. Như 2950 của cơ quan tôi đang dùng chỉ có protect port được thôi.

Switch của em hỗ trợ PVLAN nhưng lại không hỗ trợ VACL. Nên phương án config bằng VACL là không thể.
Còn PVLAN thì em thấy đúng là không đáp ứng được tất cả các yêu cầu.

Không biết còn phương án nào không ạ?

Thanks

**Alpha5** · 31-08-2007, 11:17 PM

Tớ chả phải chuyên gia gì, thử nghĩ cách thôi. Không VACL thì cứ dùng ACL bình thường áp dụng cho các interface thôi. Tạo cái ACL ngăn không cho đến dải địa chỉ internal cần ngăn, còn lại thì cho qua tất. Áp dụng lên các interface vlan kia là được.

**nesysen** · 14-09-2007, 02:35 PM

Originally posted by Alpha5 View Post

Tớ chả phải chuyên gia gì, thử nghĩ cách thôi. Không VACL thì cứ dùng ACL bình thường áp dụng cho các interface thôi. Tạo cái ACL ngăn không cho đến dải địa chỉ internal cần ngăn, còn lại thì cho qua tất. Áp dụng lên các interface vlan kia là được.

Hi.
Nếu áp được ACL lên Interface VLAN thì đó là VACL rồi bạn ơi.

Announcement

Bài toán VLAN và Access List.

Bài toán VLAN và Access List.

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment