VLAN Access-list (VACLs) là một trong những phương pháp nâng cao tính bảo mật trong mạng. Cho phép kiểm soát lưu lượng chạy trên Switch.
Khi cấu hình VLAN Access-list, người dùng có thể phân loại lưu lượng:ip, tcp, www…Tuỳ vào chính sách của nhà quả trị mạng có thể lọc bỏ hoặc cho các loại thông tin đó lưu thông trong mạng.
VLAN Access-list có thể áp dụng trong phạm vi VLAN, hoặc giữa các VLAN (intervlan). VLAN Access-list có các đặc tính như Router Access-list (RACLs), có thể loại bỏ, cho qua, hay tái định hướng (redirection) các gói tin
.png)
1: Xóa toàn bộ cấu hình và VLAN trên SW1.
2: Cấu tất cả các PC thuộc cùng VLAN 10.
3: Cấu hình IP address của các PC như trên mô hình, đảm bảo các PC ping thấy nhau.
4: Cấu hình VLAN Access-list thỏa mãn các yêu cầu sau:
a: Client 1 chỉ được truy xuất duy nhất đến Server, không được truy xuất đến các client còn lại trong VLAN 10.
b: Client 2 và Client 3 có thể truy xuất đến Server và truy xuất đến lẫn nhau, không được truy xuất đến các client còn lại trong VLAN 10.
c: Server có thể truy xuất toàn bộ các client khác trong VLAN 10.
1: Xóa cấu hình SW1:
SW1# erase startup-config
SW1# delete flash:vlan.dat
2: Gán các port F0/1, F0/2, F0/3, F0/24 thuộc vlan 10:
SW1(config)# interface range f0/1 – 10
SW1(config-if-range)# switchport mode access
SW1(config-if-range)# switchport access vlan 10
3: Gán IP cho các Client và Server.
4a: Cấu hình VACL cho phép Client1 truy xuất đến Server:
SW1(config)# access-list 100 deny ip host 192.168.1.1 host 192.168.1.254
SW1(config)# access-list 100 permit ip host 192.168.1.1 192.168.1.0 0.0.0.255
SW1(config)# vlan access-map CLASS_MAP 10
SW1(config-access-map)# match ip address 100
SW1(config-access-map)# action drop
SW1(config-access-map)# exit
4b: Cấu hình VACL cho phép Client2 truy xuất đến Client3 và Server. Client3 cho phép truy xuất đến Client2 và Server:
SW1(config)# access-list 101 deny ip host 192.168.1.2 host 192.168.1.3
SW1(config)# access-list 101 deny ip host 192.168.1.2 host 192.168.1.254
SW1(config)# access-list 101 permit ip host 192.168.1.2 192.168.1.0 0.0.0.255
SW1(config)# access-list 102 deny ip host 192.168.1.3 host 192.168.1.2
SW1(config)# access-list 102 deny ip host 192.168.1.3 host 192.168.1.254
SW1(config)# access-list 102 permit ip host 192.168.1.2 192.168.1.0 0.0.0.255
SW1(config)# vlan access-map CLASS_MAP 20
SW1(config-access-map)# match ip address 101
SW1(config-access-map)# action drop
SW1(config-access-map)# exit
SW1(config)# vlan access-map CLASS_MAP 30
SW1(config-access-map)# match ip address 102
SW1(config-access-map)# action drop
SW1(config-access-map)# exit
4c: Cấu hình cho phép Server truy xuất đến tất cả Client trong subnet:
SW1(config)# vlan access-map CLASS_MAP 100
SW1(config-access-map)# action forward
SW1(config-access-map)# exit
!Apply CLASS_MAP vào VLAN10
SW1(config)# vlan filter CLASS_MAP vlan-list 10
Cấu hình đầy đủ:
configure terminal ! interface range fastEthernet0/1 – 10 switchport mode access switchport access vlan 10 ! access-list 100 deny ip host 192.168.1.1 host 192.168.1.254 access-list 100 permit ip host 192.168.1.1 192.168.1.0 0.0.0.255 ! vlan access-map CLASS_MAP 10 match ip address 100 action drop ! access-list 101 deny ip host 192.168.1.2 host 192.168.1.3 access-list 101 deny ip host 192.168.1.2 host 192.168.1.254 access-list 101 permit ip host 192.168.1.2 192.168.1.0 0.0.0.255 ! access-list 102 deny ip host 192.168.1.3 host 192.168.1.2 access-list 102 deny ip host 192.168.1.3 host 192.168.1.254 access-list 102 permit ip host 192.168.1.2 192.168.1.0 0.0.0.255 ! vlan access-map CLASS_MAP 20 match ip address 101 action drop ! vlan access-map CLASS_MAP 30 match ip address 102 action drop ! vlan access-map CLASS_MAP 100 action forward ! vlan filter CLASS_MAP vlan-list 10 !Kiem tra: #show ip access #show vlan brief #show vlan access-map #show vlan filter
