I. VLAN ACCESS LIST
VLAN Access-list (VACLs) là một trong những phương pháp nâng cao tính bảo mật trong mạng. Cho phép kiểm soát lưu lượng chạy trên Switch. Khi cấu hình VLAN Access-list, người dùng có thể phân loại lưu lượng:ip, tcp, www…Tuỳ vào chính sách của nhà quả trị mạng có thể lọc bỏ hoặc cho các loại thông tin đó lưu thông trong mạng. VLAN Access-list có thể áp dụng trong phạm vi VLAN, hoặc giữa các VLAN (intervlan). VLAN Access-list có các đặc tính như Router Access-list (RACLs), có thể loại bỏ, cho qua, hay tái định hướng (redirection) các gói tin.
Yêu cầu:
1: Xóa toàn bộ cấu hình và VLAN trên SW1.
2: Cấu tất cả các PC thuộc cùng VLAN 10.
3: Cấu hình IP address của các PC như trên mô hình, đảm bảo các PC ping thấy nhau.
4: Cấu hình VLAN Access-list thỏa mãn các yêu cầu sau:
a: Client 1 chỉ được truy xuất duy nhất đến Server, không được truy xuất đến các client còn lại trong VLAN 10.
b: Client 2 và Client 3 có thể truy xuất đến Server và truy xuất đến lẫn nhau, không được truy xuất đến các client còn lại trong VLAN 10.
c: Server có thể truy xuất toàn bộ các client khác trong VLAN 10.
Hướng dẫn:
1: Xóa cấu hình SW1:
SW1# erase startup-config
SW1# delete flash:vlan.dat
2: Gán các port F0/1, F0/2, F0/3, F0/24 thuộc vlan 10:
SW1(config)# interface range f0/1 – 10
SW1(config-if-range)# switchport mode access
SW1(config-if-range)# switchport access vlan 10
3: Gán IP cho các Client và Server.
4a: Cấu hình VACL cho phép Client1 truy xuất đến Server:
SW1(config)# access-list 100 deny ip host 192.168.1.1 host 192.168.1.254
SW1(config)# access-list 100 permit ip host 192.168.1.1 192.168.1.0 0.0.0.255
SW1(config)# vlan access-map CLASS_MAP 10
SW1(config-access-map)# match ip address 100
SW1(config-access-map)# action drop
SW1(config-access-map)# exit
4b: Cấu hình VACL cho phép Client2 truy xuất đến Client3 và Server. Client3 cho phép truy xuất đến Client2 và Server:
SW1(config)# access-list 101 deny ip host 192.168.1.2 host 192.168.1.3
SW1(config)# access-list 101 deny ip host 192.168.1.2 host 192.168.1.254
SW1(config)# access-list 101 permit ip host 192.168.1.2 192.168.1.0 0.0.0.255
SW1(config)# access-list 102 deny ip host 192.168.1.3 host 192.168.1.2
SW1(config)# access-list 102 deny ip host 192.168.1.3 host 192.168.1.254
SW1(config)# access-list 102 permit ip host 192.168.1.2 192.168.1.0 0.0.0.255
SW1(config)# vlan access-map CLASS_MAP 20
SW1(config-access-map)# match ip address 101
SW1(config-access-map)# action drop
SW1(config-access-map)# exit
SW1(config)# vlan access-map CLASS_MAP 30
SW1(config-access-map)# match ip address 102
SW1(config-access-map)# action drop
SW1(config-access-map)# exit
4c: Cấu hình cho phép Server truy xuất đến tất cả Client trong subnet:
SW1(config)# vlan access-map CLASS_MAP 100
SW1(config-access-map)# action forward
SW1(config-access-map)# exit
!Apply CLASS_MAP vào VLAN10
SW1(config)# vlan filter CLASS_MAP vlan-list 10
Cấu hình đầy đủ:
configure terminal
!
interface range fastEthernet0/1 – 10
switchport mode access
switchport access vlan 10
!
access-list 100 deny ip host 192.168.1.1 host 192.168.1.254
access-list 100 permit ip host 192.168.1.1 192.168.1.0 0.0.0.255
!
vlan access-map CLASS_MAP 10
match ip address 100
action drop
!
access-list 101 deny ip host 192.168.1.2 host 192.168.1.3
access-list 101 deny ip host 192.168.1.2 host 192.168.1.254
access-list 101 permit ip host 192.168.1.2 192.168.1.0 0.0.0.255
!
access-list 102 deny ip host 192.168.1.3 host 192.168.1.2
access-list 102 deny ip host 192.168.1.3 host 192.168.1.254
access-list 102 permit ip host 192.168.1.2 192.168.1.0 0.0.0.255
!
vlan access-map CLASS_MAP 20
match ip address 101
action drop
!
vlan access-map CLASS_MAP 30
match ip address 102
action drop
!
vlan access-map CLASS_MAP 100
action forward
!
vlan filter CLASS_MAP vlan-list 10
!Kiem tra:
#show ip access
#show vlan brief
#show vlan access-map
#show vlan filter
