VLAN ACCESS-LIST (VACLs) VÀ CẤU HÌNH VACLs -

VLAN ACCESS-LIST (VACLs) VÀ CẤU HÌNH VACLs -

VLAN ACCESS-LIST (VACLs) VÀ CẤU HÌNH VACLs -

VLAN ACCESS-LIST (VACLs) VÀ CẤU HÌNH VACLs -

VLAN ACCESS-LIST (VACLs) VÀ CẤU HÌNH VACLs -
VLAN ACCESS-LIST (VACLs) VÀ CẤU HÌNH VACLs -
(028) 35124257 - 0933 427 079

VLAN ACCESS-LIST (VACLs) VÀ CẤU HÌNH VACLs

30-05-2022

VLAN Access-List

VLAN Access-list (VACLs) là một trong những phương pháp nâng cao tính bảo mật trong mạng. Cho phép kiểm soát lưu lượng chạy trên Switch.

Khi cấu hình VLAN Access-list, người dùng có thể phân loại lưu lượng:ip, tcp, www…Tuỳ vào chính sách của nhà quả trị mạng có thể lọc bỏ hoặc cho các loại thông tin đó lưu thông trong mạng.

VLAN Access-list có thể áp dụng trong phạm vi VLAN, hoặc giữa các VLAN (intervlan). VLAN Access-list có các đặc tính như Router Access-list (RACLs), có thể loại bỏ, cho qua, hay tái định hướng (redirection) các gói tin

Lab: Cấu hình VLAN Access-List

Yêu cầu:

   1: Xóa toàn bộ cấu hình và VLAN trên SW1.

   2: Cấu tất cả các PC thuộc cùng VLAN 10.

   3: Cấu hình IP address của các PC như trên mô hình, đảm bảo các PC ping thấy nhau.

   4: Cấu hình VLAN Access-list thỏa mãn các yêu cầu sau:

         a: Client 1 chỉ được truy xuất duy nhất đến Server, không được truy xuất đến các client còn lại trong VLAN 10.

         b: Client 2 và Client 3 có thể truy xuất đến Server và truy xuất đến lẫn nhau, không được truy xuất đến các client còn lại trong VLAN 10.

         c: Server có thể truy xuất toàn bộ các client khác trong VLAN 10.

 

Hướng dẫn:

   1: Xóa cấu hình SW1:

            SW1# erase startup-config

            SW1# delete flash:vlan.dat

   2: Gán các port F0/1, F0/2, F0/3, F0/24 thuộc vlan 10:

            SW1(config)# interface range f0/1 – 10

            SW1(config-if-range)# switchport mode access

            SW1(config-if-range)# switchport access vlan 10

   3: Gán IP cho các Client và Server.

   4a: Cấu hình VACL cho phép Client1 truy xuất đến Server:

            SW1(config)# access-list 100 deny ip host 192.168.1.1 host 192.168.1.254

            SW1(config)# access-list 100 permit ip host 192.168.1.1 192.168.1.0 0.0.0.255

            SW1(config)# vlan access-map CLASS_MAP 10

            SW1(config-access-map)# match ip address 100

            SW1(config-access-map)# action drop

            SW1(config-access-map)# exit

   4b: Cấu hình VACL cho phép Client2 truy xuất đến Client3 và Server. Client3 cho phép truy xuất đến Client2 và Server:

            SW1(config)# access-list 101 deny ip host 192.168.1.2 host 192.168.1.3

            SW1(config)# access-list 101 deny ip host 192.168.1.2 host 192.168.1.254

            SW1(config)# access-list 101 permit ip host 192.168.1.2 192.168.1.0 0.0.0.255

            SW1(config)# access-list 102 deny ip host 192.168.1.3 host 192.168.1.2

            SW1(config)# access-list 102 deny ip host 192.168.1.3 host 192.168.1.254

            SW1(config)# access-list 102 permit ip host 192.168.1.2 192.168.1.0 0.0.0.255

            SW1(config)# vlan access-map CLASS_MAP 20

            SW1(config-access-map)# match ip address 101

            SW1(config-access-map)# action drop

            SW1(config-access-map)# exit

            SW1(config)# vlan access-map CLASS_MAP 30

            SW1(config-access-map)# match ip address 102

            SW1(config-access-map)# action drop

            SW1(config-access-map)# exit

   4c: Cấu hình cho phép Server truy xuất đến tất cả Client trong subnet:

            SW1(config)# vlan access-map CLASS_MAP 100

            SW1(config-access-map)# action forward

            SW1(config-access-map)# exit

         !Apply CLASS_MAP vào VLAN10

            SW1(config)# vlan filter CLASS_MAP vlan-list 10

 

Cấu hình đầy đủ:

configure terminal

!

interface range fastEthernet0/1 – 10

 switchport mode access

 switchport access vlan 10

!

access-list 100 deny ip host 192.168.1.1 host 192.168.1.254

access-list 100 permit ip host 192.168.1.1 192.168.1.0 0.0.0.255

!

vlan access-map CLASS_MAP 10

 match ip address 100

 action drop

!

access-list 101 deny ip host 192.168.1.2 host 192.168.1.3

access-list 101 deny ip host 192.168.1.2 host 192.168.1.254

access-list 101 permit ip host 192.168.1.2 192.168.1.0 0.0.0.255

!

access-list 102 deny ip host 192.168.1.3 host 192.168.1.2

access-list 102 deny ip host 192.168.1.3 host 192.168.1.254

access-list 102 permit ip host 192.168.1.2 192.168.1.0 0.0.0.255

!

vlan access-map CLASS_MAP 20

 match ip address 101

 action drop

!

vlan access-map CLASS_MAP 30

 match ip address 102

 action drop

!

vlan access-map CLASS_MAP 100

 action forward

!

vlan filter CLASS_MAP vlan-list 10



!Kiem tra:

#show ip access

#show vlan brief

#show vlan access-map

#show vlan filter

FORM ĐĂNG KÝ MUA HÀNG
Đặt hàng
icon-cart
0