CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH
Danh sách nội dung [Ẩn]
Hướng dẫn cấu hình VACLs (VLAN Access-List)
VLAN Access-list (VACLs) là một trong những phương pháp nâng cao tính bảo mật trong mạng. Cho phép kiểm soát lưu lượng chạy trên Switch.
Khi cấu hình VLAN Access-list, người dùng có thể phân loại lưu lượng:ip, tcp, www…Tuỳ vào chính sách của nhà quả trị mạng có thể lọc bỏ hoặc cho các loại thông tin đó lưu thông trong mạng.
VLAN Access-list có thể áp dụng trong phạm vi VLAN, hoặc giữa các VLAN (intervlan). VLAN Access-list có các đặc tính như Router Access-list (RACLs), có thể loại bỏ, cho qua, hay tái định hướng (redirection) các gói tin
1: Xóa toàn bộ cấu hình và VLAN trên SW1.
2: Cấu tất cả các PC thuộc cùng VLAN 10.
3: Cấu hình IP address của các PC như trên mô hình, đảm bảo các PC ping thấy nhau.
4: Cấu hình VLAN Access-list thỏa mãn các yêu cầu sau:
a: Client 1 chỉ được truy xuất duy nhất đến Server, không được truy xuất đến các client còn lại trong VLAN 10.
b: Client 2 và Client 3 có thể truy xuất đến Server và truy xuất đến lẫn nhau, không được truy xuất đến các client còn lại trong VLAN 10.
c: Server có thể truy xuất toàn bộ các client khác trong VLAN 10.
1: Xóa cấu hình SW1:
SW1# erase startup-config
SW1# delete flash:vlan.dat
2: Gán các port F0/1, F0/2, F0/3, F0/24 thuộc vlan 10:
SW1(config)# interface range f0/1 – 10
SW1(config-if-range)# switchport mode access
SW1(config-if-range)# switchport access vlan 10
3: Gán IP cho các Client và Server.
4a: Cấu hình VACL cho phép Client1 truy xuất đến Server:
SW1(config)# access-list 100 deny ip host 192.168.1.1 host 192.168.1.254
SW1(config)# access-list 100 permit ip host 192.168.1.1 192.168.1.0 0.0.0.255
SW1(config)# vlan access-map CLASS_MAP 10
SW1(config-access-map)# match ip address 100
SW1(config-access-map)# action drop
SW1(config-access-map)# exit
4b: Cấu hình VACL cho phép Client2 truy xuất đến Client3 và Server. Client3 cho phép truy xuất đến Client2 và Server:
SW1(config)# access-list 101 deny ip host 192.168.1.2 host 192.168.1.3
SW1(config)# access-list 101 deny ip host 192.168.1.2 host 192.168.1.254
SW1(config)# access-list 101 permit ip host 192.168.1.2 192.168.1.0 0.0.0.255
SW1(config)# access-list 102 deny ip host 192.168.1.3 host 192.168.1.2
SW1(config)# access-list 102 deny ip host 192.168.1.3 host 192.168.1.254
SW1(config)# access-list 102 permit ip host 192.168.1.2 192.168.1.0 0.0.0.255
SW1(config)# vlan access-map CLASS_MAP 20
SW1(config-access-map)# match ip address 101
SW1(config-access-map)# action drop
SW1(config-access-map)# exit
SW1(config)# vlan access-map CLASS_MAP 30
SW1(config-access-map)# match ip address 102
SW1(config-access-map)# action drop S
W1(config-access-map)# exit
4c: Cấu hình cho phép Server truy xuất đến tất cả Client trong subnet:
SW1(config)# vlan access-map CLASS_MAP 100
SW1(config-access-map)# action forward
SW1(config-access-map)# exit !Apply CLASS_MAP vào VLAN10
SW1(config)# vlan filter CLASS_MAP vlan-list 10
Cấu hình đầy đủ:
configure terminal
!
interface range fastEthernet0/1 – 10 switchport mode access switchport access vlan 10
!
access-list 100 deny ip host 192.168.1.1 host 192.168.1.254
access-list 100 permit ip host 192.168.1.1 192.168.1.0 0.0.0.255
!
vlan access-map CLASS_MAP 10 match ip address 100 action drop
!
access-list 101 deny ip host 192.168.1.2 host 192.168.1.3
access-list 101 deny ip host 192.168.1.2 host 192.168.1.254
access-list 101 permit ip host 192.168.1.2 192.168.1.0 0.0.0.255
!
access-list 102 deny ip host 192.168.1.3 host 192.168.1.2
access-list 102 deny ip host 192.168.1.3 host 192.168.1.254
access-list 102 permit ip host 192.168.1.2 192.168.1.0 0.0.0.255
!
vlan access-map CLASS_MAP 20 match ip address 101 action drop
!
vlan access-map CLASS_MAP 30 match ip address 102 action drop
!
vlan access-map CLASS_MAP 100 action forward
!
vlan filter CLASS_MAP vlan-list 10
!Kiem tra:
#show ip access
#show vlan brief
#show vlan access-map
#show vlan filter
Chúc các bạn thực hiện thành công! Nếu bạn có bất kỳ câu hỏi hoặc gặp khó khăn, đừng ngần ngại liên hệ với chúng tôi theo thông tin dưới đây để được hỗ trợ thêm.
Hẹn gặp lại các bạn trong các bài viết tiếp theo!
CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH
• Địa chỉ: Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội
• Điện thoại: 02432012368
• Hotline: 098 115 6699
• Email: info@datech.vn
• Website: https://datech.vn