Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    [Chia sẻ] Tìm hiểu đơn giản về ACL trong môi trường VLAN và switch

    Chào mọi người,
    Dạo gần đây mình tìm hiểu thêm về ACL (Access Control List) trong bối cảnh các thiết bị switch Layer 3 và hệ thống VLAN. Vì thấy đây là một phần khá quan trọng trong việc kiểm soát truy cập giữa các vùng mạng (và đôi khi cũng hơi dễ nhầm lẫn nếu mới bắt đầu), nên mình xin phép chia sẻ lại một số khái niệm đơn giản mà mình đã học được. Mong nhận thêm góp ý từ mọi người để cùng hoàn thiện hơn ạ.
    ACL là gì?

    ACL (Access Control List) là một danh sách các quy tắc dùng để kiểm soát lưu lượng mạng, cho phép hoặc từ chối các gói tin dựa trên tiêu chí như địa chỉ IP nguồn, đích, cổng, giao thức,...

    Trong môi trường switch Layer 3 (hoặc router), ACL giúp mình hạn chế luồng truy cập giữa các VLAN, ví dụ như chỉ cho VLAN 10 truy cập HTTP đến VLAN 20, còn các dịch vụ khác thì chặn lại.
    ACL hoạt động ở đâu trong switch?

    ACL thường được áp dụng tại cổng giao tiếp Layer 3 (SVI - Switch Virtual Interface), hoặc interface vật lý nếu có định tuyến đi qua. Switch Layer 2 thông thường sẽ không hỗ trợ ACL vì không xử lý IP, nhưng Layer 3 switch (như Catalyst hoặc một số dòng L3 hỗ trợ định tuyến) sẽ cho phép mình áp dụng ACL ở các interface logic của VLAN.
    Một số loại ACL cơ bản
    • Standard ACL: chỉ lọc theo địa chỉ IP nguồn. Đơn giản, nhưng ít linh hoạt.
    • Extended ACL: lọc được theo IP nguồn, IP đích, cổng, giao thức,... nên dùng trong hầu hết trường hợp kiểm soát truy cập giữa các VLAN.
    ACL được áp dụng theo chiều inbound (vào interface) hoặc outbound (ra interface), nên khi triển khai thì mình cũng cần hình dung rõ lưu lượng đi hướng nào.
    Ví dụ đơn giản

    Giả sử mình có 3 VLAN:
    • VLAN 10: Phòng Kế toán (192.168.10.0/24)
    • VLAN 20: Phòng Nhân sự (192.168.20.0/24)
    • VLAN 30: Internet hoặc Server Zone (192.168.30.0/24)
    Yêu cầu: chỉ cho VLAN 10 truy cập HTTP đến VLAN 30, còn VLAN 20 thì không được phép truy cập.

    Click image for larger version Name: image.png Views: 89 Size: 6.0 KB ID: 434613


    Ở đây, ACL được áp vào interface của VLAN 30, kiểm soát các gói đi vào VLAN 30. Mình dùng permit với điều kiện cụ thể, và deny ip any any để chặn các truy cập không phù hợp.
    Một vài lưu ý mình học được:
    Thứ tự trong ACL rất quan trọng – nó sẽ kiểm tra từ trên xuống dưới, gặp dòng nào khớp thì thực thi ngay và không kiểm tra tiếp.
    • Cuối mỗi ACL luôn có một dòng ngầm deny all, nên nếu không có dòng permit nào phù hợp thì gói tin sẽ bị drop.
    • Nên viết ACL rõ ràng, cụ thể, và luôn kiểm tra kỹ trước khi apply – vì nếu sai có thể gây mất kết nối ngoài ý muốn.
    Tổng kết
    ACL là một công cụ mạnh và cơ bản khi xây dựng mô hình phân vùng mạng bằng VLAN. Với các yêu cầu kiểm soát truy cập giữa các vùng chức năng khác nhau, ACL giúp mình thực hiện nhanh và chính xác nếu hiểu đúng cách hoạt động.

    Mình mới tìm hiểu nên chia sẻ lại góc nhìn đơn giản, mong mọi người góp ý thêm nếu có sai sót hoặc cách triển khai nào thực tế hơn. Cảm ơn mọi người đã đọc bài ạ!
    Tags: #ccna, #cisco
    • Likes 1
Previous template Next
Working...
X