Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Lab VLAN Access-List

    1. VLAN Access List
    VLAN Access-list (VACLs) là một trong những phương pháp nâng cao tính bảo mật trong mạng. Cho phép kiểm soát lưu lượng chạy trên Switch. Khi cấu hình VLAN Access-list, người dùng có thể phân loại lưu lượng:ip, tcp, www…Tuỳ vào chính sách của nhà quả trị mạng có thể lọc bỏ hoặc cho các loại thông tin đó lưu thông trong mạng. VLAN Access-list có thể áp dụng trong phạm vi VLAN, hoặc giữa các VLAN (intervlan). VLAN Access-list có các đặc tính như Router Access-list (RACLs), có thể loại bỏ, cho qua, hay tái định hướng (redirection) các gói tin
    1. LAB: Cấu hình VLAN Access-list
    Click image for larger version Name: dataurl930859.gif Views: 8 Size: 7.1 KB ID: 430114

    Hình 49
    Yêu cầu:
    1: Xóa toàn bộ cấu hình và VLAN trên SW1.
    2: Cấu tất cả các PC thuộc cùng VLAN 10.
    3: Cấu hình IP address của các PC như trên mô hình, đảm bảo các PC ping thấy nhau.
    4: Cấu hình VLAN Access-list thỏa mãn các yêu cầu sau:
    a: Client 1 chỉ được truy xuất duy nhất đến Server, không được truy xuất đến các client còn lại trong VLAN 10.
    b: Client 2 và Client 3 có thể truy xuất đến Server và truy xuất đến lẫn nhau, không được truy xuất đến các client còn lại trong VLAN 10.
    c: Server có thể truy xuất toàn bộ các client khác trong VLAN 10.

    Hướng dẫn:
    1: Xóa cấu hình SW1:
    SW1# erase startup-config
    SW1# delete flash:vlan.dat
    2: Gán các port F0/1, F0/2, F0/3, F0/24 thuộc vlan 10:
    SW1(config)# interface range f0/1 – 10
    SW1(config-if-range)# switchport mode access
    SW1(config-if-range)# switchport access vlan 10
    3: Gán IP cho các Client và Server.
    4a: Cấu hình VACL cho phép Client1 truy xuất đến Server:
    SW1(config)# access-list 100 deny ip host 192.168.1.1 host 192.168.1.254
    SW1(config)# access-list 100 permit ip host 192.168.1.1 192.168.1.0 0.0.0.255
    SW1(config)# vlan access-map CLASS_MAP 10
    SW1(config-access-map)# match ip address 100
    SW1(config-access-map)# action drop
    SW1(config-access-map)# exit
    4b: Cấu hình VACL cho phép Client2 truy xuất đến Client3 và Server. Client3 cho phép truy xuất đến Client2 và Server:
    SW1(config)# access-list 101 deny ip host 192.168.1.2 host 192.168.1.3
    SW1(config)# access-list 101 deny ip host 192.168.1.2 host 192.168.1.254
    SW1(config)# access-list 101 permit ip host 192.168.1.2 192.168.1.0 0.0.0.255
    SW1(config)# access-list 102 deny ip host 192.168.1.3 host 192.168.1.2
    SW1(config)# access-list 102 deny ip host 192.168.1.3 host 192.168.1.254
    SW1(config)# access-list 102 permit ip host 192.168.1.2 192.168.1.0 0.0.0.255
    SW1(config)# vlan access-map CLASS_MAP 20
    SW1(config-access-map)# match ip address 101
    SW1(config-access-map)# action drop
    SW1(config-access-map)# exit
    SW1(config)# vlan access-map CLASS_MAP 30
    SW1(config-access-map)# match ip address 102
    SW1(config-access-map)# action drop
    SW1(config-access-map)# exit
    4c: Cấu hình cho phép Server truy xuất đến tất cả Client trong subnet:
    SW1(config)# vlan access-map CLASS_MAP 100
    SW1(config-access-map)# action forward
    SW1(config-access-map)# exit
    !Apply CLASS_MAP vào VLAN10
    SW1(config)# vlan filter CLASS_MAP vlan-list 10

    Cấu hình đầy đủ:
    configure terminal
    !
    interface range fastEthernet0/1 – 10
    switchport mode access
    switchport access vlan 10
    !
    access-list 100 deny ip host 192.168.1.1 host 192.168.1.254
    access-list 100 permit ip host 192.168.1.1 192.168.1.0 0.0.0.255
    !
    vlan access-map CLASS_MAP 10
    match ip address 100
    action drop
    !
    access-list 101 deny ip host 192.168.1.2 host 192.168.1.3
    access-list 101 deny ip host 192.168.1.2 host 192.168.1.254
    access-list 101 permit ip host 192.168.1.2 192.168.1.0 0.0.0.255
    !
    access-list 102 deny ip host 192.168.1.3 host 192.168.1.2
    access-list 102 deny ip host 192.168.1.3 host 192.168.1.254
    access-list 102 permit ip host 192.168.1.2 192.168.1.0 0.0.0.255
    !
    vlan access-map CLASS_MAP 20
    match ip address 101
    action drop
    !
    vlan access-map CLASS_MAP 30
    match ip address 102
    action drop
    !
    vlan access-map CLASS_MAP 100
    action forward
    !
    vlan filter CLASS_MAP vlan-list 10


    !Kiem tra:
    #show ip access
    #show vlan brief
    #show vlan access-map
    #show vlan filter







    Click image for larger version Name: dataurl930859.gif Views: 5 Size: 7.1 KB ID: 430115










    Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/
    Tags: None
Previous template Next
Working...
X