Tweet
Ôn tập tính năng VACL (VLAN Access Control List) – “Lọc gói tin nội bộ” ngay bên trong cùng một VLAN
Thông thường khi học switching, nhiều người nghĩ rằng các thiết bị nằm cùng VLAN thì mặc nhiên được phép nói chuyện với nhau. Điều này đúng trong hầu hết trường hợp. Nhưng nếu bạn muốn kiểm soát chi tiết hơn — ví dụ PC1 không được ping hoặc telnet tới PC2, nhưng vẫn được truy cập các dịch vụ khác — thì sao?
Protected Port hay Private VLAN (PVLAN) có thể giúp cô lập thiết bị, nhưng chúng khá “thô”. Hoặc cho phép toàn bộ, hoặc chặn toàn bộ. Không có khả năng chọn lọc từng loại traffic. Đó là lúc VACL (VLAN Access Control List) xuất hiện. VẬY THẬT RA, VACL là gì?
VACL là cơ chế lọc traffic ngay bên trong VLAN, cho phép kiểm soát traffic giữa các host cùng subnet/VLAN. VLACL hoàn toàn khác với Router ACL / RACL (Loại ACL này kiểm soát traffic đi qua interface Layer 3). Còn PACL (Port ACL) thì chỉ kiểm soát traffic đi vào một switchport cụ thể. Trong khi đó, VACL giúp chúng ta kiểm soát traffic bên trong VLAN, kể cả traffic không đi qua router. Tóm lại là switch hỗ trợ đến 3 loại ACL khác nhau:
1. ACL
ACL dùng để định nghĩa traffic nào sẽ được kiểm tra. ACL này có thể là IP ACL hoặc MAC ACL. Ví dụ:
SW1# show access-lists
Extended IP access list 100
10 permit icmp host 10.1.1.10 host 10.1.1.20
20 permit tcp host 10.1.1.10 host 10.1.1.20 eq telnet
ACL này match (Lựa ra):
Đây là nơi quyết định làm gì với traffic đã match. Ví dụ:
vlan access-map TSHOOT 10
match ip address 100
action drop
Nghĩa là:
"Nếu traffic match ACL 100 → drop"
Tiếp theo:
vlan access-map TSHOOT 20
action forward
Nghĩa là "Các Traffic còn lại → sẽ forward" 3. VLAN Filter: Gắn access map vào VLAN thực tế. Ví dụ:
vlan filter TSHOOT vlan-list 10
Nghĩa là Áp dụng policy TSHOOT cho VLAN 10. Nếu chúng ta quên bước này thì cấu hình coi như vô nghĩa. Làm xong VACL mà không áp dụng vào VLAN nào hết!!! Luồng xử lý VACL
Ví dụ topology:
PC1 (10.1.1.10) ---- SW1 ---- PC2 (10.1.1.20)
VLAN 10
PC1 gửi ping đến PC2.
Switch kiểm tra: Bước 1
Traffic có match ACL 100?
Ping = ICMP
Có:
permit icmp host 10.1.1.10 host 10.1.1.20
=> MATCH Bước 2
Match VLAN access-map sequence 10:
action drop
=> Ping bị chặn
Nếu PC1 truy cập HTTP tới PC2:
ACL 100 không match.
Switch xuống sequence tiếp theo:
vlan access-map TSHOOT 20
action forward
=> HTTP được phép Kết quả
TrafficKết quả
Ping Drop
Telnet -> Drop
HTTP -->Forward
SMB --> Forward Các lỗi troubleshooting phổ biến
1. ACL cấu hình sai
Sai kiểu rất thường gặp: Permit / deny nhầm
Sai:
deny icmp host 10.1.1.10 host 10.1.1.20
Nhiều người nghĩ deny = block.
Nhưng với VACL:
ACL chỉ dùng để MATCH. (Lựa ra traffic)
Nếu ACL deny thì traffic không match access-map.
Kết quả là traffic sẽ lọt xuống rule tiếp theo để kiểm tra với VACL. Sai protocol
Muốn chặn ping nhưng viết:
permit tcp ...
ICMP sẽ không match. Sai địa chỉ IP
Typo kiểu:
10.1.1.200
thay vì:
10.1.1.20 Sai port
Telnet:
eq 23
SSH:
eq 22
Nhầm là policy fail. 2. Sequence access-map sai
VACL xử lý top-down giống ACL.
Ví dụ lỗi:
vlan access-map TSHOOT 10
action forward
vlan access-map TSHOOT 20
match ip address 100
action drop
Traffic sẽ hit rule đầu tiên:
forward
Rule drop không bao giờ được dùng. 3. Sai HÀNH ĐỘNG CHO VACL (action)
Ví dụ:
action forward
thay vì:
action drop
Nhìn đúng cấu trúc nhưng logic sai. 4. Sai ACL được match
Ví dụ:
match ip address 101
trong khi ACL thật là:
100 5. VLAN filter sai
Ví dụ:
vlan filter TSHOOT vlan-list 20
trong khi PC nằm VLAN 10.
Không có tác dụng. 6. Quên gắn VLAN filter
Có đủ:
vlan filter ...
Policy không active. Các lệnh troubleshooting quan trọng
Kiểm tra ACL
show access-lists Kiểm tra access map
show vlan access-map
hoặc
show run | section vlan access-map Kiểm tra VLAN filter
show vlan filter
hoặc
show run | include vlan filter vài tips thực chiến CCNP/CCIE
Nếu câu hỏi là:
"Hai host cùng VLAN vẫn ping nhau dù đã cấu hình VACL"
Checklist:
VACL là một công cụ cực mạnh khi bạn cần micro-segmentation trong Layer 2 switching mà không muốn ép traffic phải đi qua firewall hay router. Nó giống như đặt điểm kiểm tra checkpoint bảo mật ngay bên trong switch. Hiểu đúng VACL là một kỹ năng rất hữu ích cho CCNP EnterprisE, CCIE Enterprise, Network Security, Campus segmentation design.....
Thông thường khi học switching, nhiều người nghĩ rằng các thiết bị nằm cùng VLAN thì mặc nhiên được phép nói chuyện với nhau. Điều này đúng trong hầu hết trường hợp. Nhưng nếu bạn muốn kiểm soát chi tiết hơn — ví dụ PC1 không được ping hoặc telnet tới PC2, nhưng vẫn được truy cập các dịch vụ khác — thì sao?
Protected Port hay Private VLAN (PVLAN) có thể giúp cô lập thiết bị, nhưng chúng khá “thô”. Hoặc cho phép toàn bộ, hoặc chặn toàn bộ. Không có khả năng chọn lọc từng loại traffic. Đó là lúc VACL (VLAN Access Control List) xuất hiện. VẬY THẬT RA, VACL là gì?
VACL là cơ chế lọc traffic ngay bên trong VLAN, cho phép kiểm soát traffic giữa các host cùng subnet/VLAN. VLACL hoàn toàn khác với Router ACL / RACL (Loại ACL này kiểm soát traffic đi qua interface Layer 3). Còn PACL (Port ACL) thì chỉ kiểm soát traffic đi vào một switchport cụ thể. Trong khi đó, VACL giúp chúng ta kiểm soát traffic bên trong VLAN, kể cả traffic không đi qua router. Tóm lại là switch hỗ trợ đến 3 loại ACL khác nhau:
- RACL = bảo vệ ở cửa ra vào router
- PACL = bảo vệ tại cổng switch
- VACL = bảo vệ ngay trong hành lang nội bộ
1. ACL
ACL dùng để định nghĩa traffic nào sẽ được kiểm tra. ACL này có thể là IP ACL hoặc MAC ACL. Ví dụ:
SW1# show access-lists
Extended IP access list 100
10 permit icmp host 10.1.1.10 host 10.1.1.20
20 permit tcp host 10.1.1.10 host 10.1.1.20 eq telnet
ACL này match (Lựa ra):
- ICMP từ PC1 → PC2
- TCP Telnet từ PC1 → PC2
Đây là nơi quyết định làm gì với traffic đã match. Ví dụ:
vlan access-map TSHOOT 10
match ip address 100
action drop
Nghĩa là:
"Nếu traffic match ACL 100 → drop"
Tiếp theo:
vlan access-map TSHOOT 20
action forward
Nghĩa là "Các Traffic còn lại → sẽ forward" 3. VLAN Filter: Gắn access map vào VLAN thực tế. Ví dụ:
vlan filter TSHOOT vlan-list 10
Nghĩa là Áp dụng policy TSHOOT cho VLAN 10. Nếu chúng ta quên bước này thì cấu hình coi như vô nghĩa. Làm xong VACL mà không áp dụng vào VLAN nào hết!!! Luồng xử lý VACL
Ví dụ topology:
PC1 (10.1.1.10) ---- SW1 ---- PC2 (10.1.1.20)
VLAN 10
PC1 gửi ping đến PC2.
Switch kiểm tra: Bước 1
Traffic có match ACL 100?
Ping = ICMP
Có:
permit icmp host 10.1.1.10 host 10.1.1.20
=> MATCH Bước 2
Match VLAN access-map sequence 10:
action drop
=> Ping bị chặn
Nếu PC1 truy cập HTTP tới PC2:
ACL 100 không match.
Switch xuống sequence tiếp theo:
vlan access-map TSHOOT 20
action forward
=> HTTP được phép Kết quả
TrafficKết quả
Ping Drop
Telnet -> Drop
HTTP -->Forward
SMB --> Forward Các lỗi troubleshooting phổ biến
1. ACL cấu hình sai
Sai kiểu rất thường gặp: Permit / deny nhầm
Sai:
deny icmp host 10.1.1.10 host 10.1.1.20
Nhiều người nghĩ deny = block.
Nhưng với VACL:
ACL chỉ dùng để MATCH. (Lựa ra traffic)
Nếu ACL deny thì traffic không match access-map.
Kết quả là traffic sẽ lọt xuống rule tiếp theo để kiểm tra với VACL. Sai protocol
Muốn chặn ping nhưng viết:
permit tcp ...
ICMP sẽ không match. Sai địa chỉ IP
Typo kiểu:
10.1.1.200
thay vì:
10.1.1.20 Sai port
Telnet:
eq 23
SSH:
eq 22
Nhầm là policy fail. 2. Sequence access-map sai
VACL xử lý top-down giống ACL.
Ví dụ lỗi:
vlan access-map TSHOOT 10
action forward
vlan access-map TSHOOT 20
match ip address 100
action drop
Traffic sẽ hit rule đầu tiên:
forward
Rule drop không bao giờ được dùng. 3. Sai HÀNH ĐỘNG CHO VACL (action)
Ví dụ:
action forward
thay vì:
action drop
Nhìn đúng cấu trúc nhưng logic sai. 4. Sai ACL được match
Ví dụ:
match ip address 101
trong khi ACL thật là:
100 5. VLAN filter sai
Ví dụ:
vlan filter TSHOOT vlan-list 20
trong khi PC nằm VLAN 10.
Không có tác dụng. 6. Quên gắn VLAN filter
Có đủ:
- ACL
- access-map
vlan filter ...
Policy không active. Các lệnh troubleshooting quan trọng
Kiểm tra ACL
show access-lists Kiểm tra access map
show vlan access-map
hoặc
show run | section vlan access-map Kiểm tra VLAN filter
show vlan filter
hoặc
show run | include vlan filter vài tips thực chiến CCNP/CCIE
Nếu câu hỏi là:
"Hai host cùng VLAN vẫn ping nhau dù đã cấu hình VACL"
Checklist:
- ACL match đúng chưa?
- permit hay deny?
- protocol đúng chưa?
- access-map sequence đúng chưa?
- action drop chưa?
- vlan filter đã apply chưa?
- apply đúng VLAN chưa?
VACL là một công cụ cực mạnh khi bạn cần micro-segmentation trong Layer 2 switching mà không muốn ép traffic phải đi qua firewall hay router. Nó giống như đặt điểm kiểm tra checkpoint bảo mật ngay bên trong switch. Hiểu đúng VACL là một kỹ năng rất hữu ích cho CCNP EnterprisE, CCIE Enterprise, Network Security, Campus segmentation design.....
Attached Files