LAB 13 : VIẾT ACCESS-CONTROL LIST (ACL) POLICY TRONG CISCO SD-WAN
I. Sơ đồ
II. Yêu cầu kỹ thuật
III. Các bước thực hiện
3.1. Cấu hình ACLs thông qua vManage và Localized Data Policies
Đầu tiên ta vào giao diện vManage > Configuration > Policies > Localized Policy > Add Policy
Ở phần Create Groups of Internet, ta chọn phần Data Prefix > New Data Prefix List để tạo các data prefix list như sau:
Dải ip của thiết bị WIN17:
Tiếp theo là địa chỉ ip của Loopback 0 của R13 và R10
Ở phần Configure Access Control Lists > Add Access Control List Policy > Add Ipv4 ACL Policy để tạo ACL Policy:
Trong phần Add Ipv4 ACL Policy, ta lần lượt cấu hình như sau:
Name: Loopback_R10
Description: Loopback_R10
Sau đó chọn Add ACL Sequence để tạo ACL như sau:
Ở phần Match:
Ở phần Action:
Cấu hình xong tiến hành chọn Save Match And Actions
Ở mục Default Action > Accept
Sau đó Save Match And Actions > Save ACL Policy
Tương tự làm cho Loopback_R13:
Name: Loopback_R13
Description: Loopback_R13
Sau đó chọn Add ACL Sequence để tạo ACL như sau:
Ở phần Match:
Ở phần Action:
Cấu hình xong tiến hành chọn Save Match And Actions
Ở mục Default Action > Accept
Sau đó Save Match And Actions > Save ACL Policy
Tương tự làm cho Win17:
Name: IP_Win17
Description: IP_Win17
Sau đó chọn Add ACL Sequence để tạo ACL như sau:
Ở phần Match:
Ở phần Action:
Cấu hình xong tiến hành chọn Save Match And Actions
Ở mục Default Action > Accept
Sau đó Save Match And Actions > Save ACL Policy
Block Telnet
Name: Block_Telnet
Description: Block_Telnet
Sau đó chọn Add ACL Sequence để tạo ACL như sau:
Ở phần Match:
Ở phần Action:
Cấu hình xong tiến hành chọn Save Match And Actions
Ở mục Default Action > Accept
Sau đó Save Match And Actions > Save ACL Policy
Ở phần Policy Overview
Cuối cùng tiến hành Save Policy
3.2. Thêm ACL Policy vào thiết bị và Port.
Add policy vào thiết bị
Ở giao diện vManage, Configuration > Templates (tab Device).
Ta lần lượt chọn lần lượt các Device Template > Edit như sau:
Ở mục Additional Templates, ta vào mục Policy và chọn ACL Policy (đã tạo trước đó)
Sau đó tiến hành Update
Thiết bị vEdge5, 6 đã được áp cấu hình Policy xuống thành công.
Tương tự cho vEdge4 ở site 1
Add Policy vào Port Ge0/2 ở site 2
Ở giao diện vManage, Configuration > Templates (tab Feature).
Và Edit các Template của các port sau
Ở phần mục ACL/QoS ta edit các thông số như sau:
Sau đó chọn Update > Edit các hàm vừa tạo như sau:
Sau đó áp dụng cấu hình thành công xuống cho vEdge5, 6
Đối với vEdge4 ở site 1
Ở giao diện vManage, Configuration > Templates (tab Feature).
Ở phần mục ACL/QoS ta edit các thông số như sau:
Sau đó chọn Update > Edit các hàm vừa tạo như sau:
Sau đó áp dụng cấu hình thành công xuống cho vEdge4
Cấu hình Telnet cho router R13, R10
R13
(config)#enable password 12345678
!
(config)#line vty 0 4
(config-line)#password 12345678
(config-line)#login
!
R10
(config)#enable password 12345678
!
(config)#line vty 0 4
(config-line)#password 12345678
(config-line)#login
!
IV. Kiểm tra
Kiểm tra Ping
R13 ping sang các thiết bị Site 2 và cũng như ping qua Win17
Ping với source 13.13.13.1
Ping sang WIN17
Kiểm tra trên thiết bị vEdge5 ở site 2 bằng lệnh show policy access-list-counters
Kiểm tra trên thiết bị vEdge4 ở site 1 bằng lệnh show policy access-list-counters
Kiểm tra telnet
Trên Win 18 ta tiến hành SSH tới R13 (192.168.4.105/24)
Ping tới thiết bị R13
Telnet tới thiết bị R13
Kiểm tra trên thiết bị vEdge5 ở site 2 bằng lệnh show policy access-list-counters
Nhóm SD-WAN - Phòng kỹ thuật VnPro
