Hướng dẫn cấu hình VACLs (VLAN Access-List)

Hướng dẫn cấu hình VACLs (VLAN Access-List)

VLAN Access-List là gì ?

VLAN Access-list (VACLs) là một trong những phương pháp nâng cao tính bảo mật trong mạng. Cho phép kiểm soát lưu lượng chạy trên Switch.

Khi cấu hình VLAN Access-list, người dùng có thể phân loại lưu lượng:ip, tcp, www…Tuỳ vào chính sách của nhà quả trị mạng có thể lọc bỏ hoặc cho các loại thông tin đó lưu thông trong mạng.

VLAN Access-list có thể áp dụng trong phạm vi VLAN, hoặc giữa các VLAN (intervlan). VLAN Access-list có các đặc tính như Router Access-list (RACLs), có thể loại bỏ, cho qua, hay tái định hướng (redirection) các gói tin

Hướng dẫn cấu hình VLAN Access-List

Yêu cầu

   1: Xóa toàn bộ cấu hình và VLAN trên SW1.

   2: Cấu tất cả các PC thuộc cùng VLAN 10.

   3: Cấu hình IP address của các PC như trên mô hình, đảm bảo các PC ping thấy nhau.

   4: Cấu hình VLAN Access-list thỏa mãn các yêu cầu sau:

         a: Client 1 chỉ được truy xuất duy nhất đến Server, không được truy xuất đến các client còn lại trong VLAN 10.

         b: Client 2 và Client 3 có thể truy xuất đến Server và truy xuất đến lẫn nhau, không được truy xuất đến các client còn lại trong VLAN 10.

         c: Server có thể truy xuất toàn bộ các client khác trong VLAN 10.

 

Hướng dẫn

   1: Xóa cấu hình SW1:

SW1# erase startup-config

SW1# delete flash:vlan.dat

   2: Gán các port F0/1, F0/2, F0/3, F0/24 thuộc vlan 10:

SW1(config)# interface range f0/1 – 10

SW1(config-if-range)# switchport mode access

SW1(config-if-range)# switchport access vlan 10

   3: Gán IP cho các Client và Server.

   4a: Cấu hình VACL cho phép Client1 truy xuất đến Server:

SW1(config)# access-list 100 deny ip host 192.168.1.1 host 192.168.1.254

SW1(config)# access-list 100 permit ip host 192.168.1.1 192.168.1.0 0.0.0.255

SW1(config)# vlan access-map CLASS_MAP 10

SW1(config-access-map)# match ip address 100

SW1(config-access-map)# action drop

SW1(config-access-map)# exit

   4b: Cấu hình VACL cho phép Client2 truy xuất đến Client3 và Server. Client3 cho phép truy xuất đến Client2 và Server:

SW1(config)# access-list 101 deny ip host 192.168.1.2 host 192.168.1.3

SW1(config)# access-list 101 deny ip host 192.168.1.2 host 192.168.1.254

SW1(config)# access-list 101 permit ip host 192.168.1.2 192.168.1.0 0.0.0.255

SW1(config)# access-list 102 deny ip host 192.168.1.3 host 192.168.1.2

SW1(config)# access-list 102 deny ip host 192.168.1.3 host 192.168.1.254

SW1(config)# access-list 102 permit ip host 192.168.1.2 192.168.1.0 0.0.0.255

SW1(config)# vlan access-map CLASS_MAP 20

SW1(config-access-map)# match ip address 101

SW1(config-access-map)# action drop

SW1(config-access-map)# exit

SW1(config)# vlan access-map CLASS_MAP 30

SW1(config-access-map)# match ip address 102

SW1(config-access-map)# action drop S

W1(config-access-map)# exit

   4c: Cấu hình cho phép Server truy xuất đến tất cả Client trong subnet:

SW1(config)# vlan access-map CLASS_MAP 100

SW1(config-access-map)# action forward

SW1(config-access-map)# exit !Apply CLASS_MAP vào VLAN10

SW1(config)# vlan filter CLASS_MAP vlan-list 10

 

Cấu hình đầy đủ:

configure terminal
!
interface range fastEthernet0/1 – 10 switchport mode access switchport access vlan 10
!
access-list 100 deny ip host 192.168.1.1 host 192.168.1.254
access-list 100 permit ip host 192.168.1.1 192.168.1.0 0.0.0.255
!
vlan access-map CLASS_MAP 10 match ip address 100 action drop
!
access-list 101 deny ip host 192.168.1.2 host 192.168.1.3
access-list 101 deny ip host 192.168.1.2 host 192.168.1.254
access-list 101 permit ip host 192.168.1.2 192.168.1.0 0.0.0.255
!
access-list 102 deny ip host 192.168.1.3 host 192.168.1.2
access-list 102 deny ip host 192.168.1.3 host 192.168.1.254
access-list 102 permit ip host 192.168.1.2 192.168.1.0 0.0.0.255
!
vlan access-map CLASS_MAP 20 match ip address 101 action drop
!
vlan access-map CLASS_MAP 30 match ip address 102 action drop
!
vlan access-map CLASS_MAP 100 action forward
!
vlan filter CLASS_MAP vlan-list 10
!Kiem tra:
#show ip access
#show vlan brief
#show vlan access-map
#show vlan filter

Chúc các bạn thực hiện thành công! Nếu bạn có bất kỳ câu hỏi hoặc gặp khó khăn, đừng ngần ngại liên hệ với chúng tôi theo thông tin dưới đây để được hỗ trợ thêm.

Hẹn gặp lại các bạn trong các bài viết tiếp theo!

CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH

• Địa chỉ: Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội

• Điện thoại: 02432012368

• Hotline: 098 115 6699

 Email: info@datech.vn

• Website: https://datech.vn