VLAN ACL (VACL) trên thiết bị chuyển mạch Switch Cisco Layer 3 là một dịch vụ cho phép tạo và quản lý danh sách truy cấp dựa vào địa chỉ MAC, IP. Bạn có thể cấu hình VACLs để kiểm tra các gói tin lưu thông trong nội bộ một VLAN. VACLs thì không quản lí truy cấp theo hướng (in, out). VACLs dùng Access Map để chứa danh sách tuần tự một hoặc nhiều mẫu tin (entry) về việc quản lí truy cập. Mỗi mẫu tin trong bản đồ truy cập mô tả việc kiểm tra gói tin dựa vào IP hoặc MAC để áp cho một hành động nào đó đối với những gói tin. Các mẫu tin đều được đánh số thứ tự nên ta có thể cấu hình ưu tiên cho các mẫu tin phù hợp với một yêu cầu nào đó. Khi các gói tin đi qua thiết bị sẽ được kiểm tra thông qua VACL dựa vào bản đồ truy cấp đã được cấu hình mà thiết bị sẽ quyết định có chuyển tiếp gói tin đi hay không. Những mẫu tin trong VLAN Access Map cung cấp các hành động tương ứng với: + Forward: Hành động này sẽ cho phép gói tin được chuyển qua Switch + Redirect: Gói tin sẽ được chuyển hướng sang 1 hoặc nhiều giao diện được chỉ định + Drop: Với một gói tin vi phạm thì hành động này cho phép hủy gói tin ngay lập tức và chúng ta có thể lưu trạng thái (logs) về việc hủy các gói tin này. Ta xét ví dụ sau: Port FastEthernet trên R1 và R2 là cùng VLAN 10. Ta sẽ cấu hình VACLs để cấm R1 telnet đến R2. - Trước tiên ta kiểm tra telnet từ R1-> R2. R1#telnet 10.10.10.2 Trying 10.10.10.2 ... Open User Access Verification Password: R2>quit [Connection to 10.10.10.2 closed by foreign host] R1# --> Kết quả telnet thành công. - Cấu hình Vlan ACL Bây giờ chúng ta tạo 1 ACL cho phép R1 telnet đến R2, sau đó sử dụng VACL để Drop gói tin telnet này. + Tạo ACL SW2(config)#ip access-list extended ACL_R1TELNETR2 SW2(config-ext-nacl)#permit tcp host 10.10.10.1 host 10.10.10.2 eq telnet + Cấu hình VACL SW2(config-ext-nacl)#vlan access-map VACL_STOPTELNET SW2(config-access-map)#match ip address ACL_R1TELNETR2 SW2(config-access-map)#action drop SW2(config-access-map)#vlan access-map VACL_STOPTELNET SW2(config-access-map)#action forward SW2(config-access-map)#exit ACL được match cho khả năng Telnet được thực hiện là DROP , sau đó match tất cả các traffic và cho phép forward tất cả. + Áp dụng lên Vlan SW2(config)#vlan filter VACL_STOPTELNET vlan-list 10 - Xem lại các cấu hình bằng các lệnh sau: SW2#show running-config aclmrg --> hiển thị ACL được cấu hình SW2#show vlan filter --> Hiển thị thông tin VACLs áp dụng cho vlan SW2#show vlan access-map --> hiển thị các entry trong access-map - Cuối cùng ta kiểm tra kết nối từ R1->R2 + Telnet R1#telnet 10.10.10.2 Trying 10.10.10.2 ... % Connection timed out; remote host not responding --> Telnet đã bị chặn + Ping R1#ping 10.10.10.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.10.10.2, timeout is 2 seconds: !!!!! --> Ping vẫn bình thường Chúc các bạn thành công.
Lọc lưu lượng (Telnet) bằng VACL trên Switch Cisco Layer3 ACL sử dụng các IP và cổng nguồn / hoặc đích để khớp trực tiếp các gói sẽ được lọc. VACL thì khác, VACL được sử dụng trong các mạng chuyển mạch nơi bạn muốn lọc lưu lượng trong VLAN. VACL tương tự về mặt logic với bản đồ tuyến đường (route maps) nhưng thay vì nhập “route-map”, chúng chứa các mục nhập “access-map”. Mỗi mục nhập "access-map" chứa một câu lệnh đối sánh (sử dụng ACL thông thường) và chuyển tiếp hoặc bỏ (drop) các hành động tương ứng. Bạn có thể có các câu lệnh đối sánh khác nhau cho mọi chuỗi bản đồ truy cập (access-map) và chúng sẽ được xử lý theo thứ tự được nhập. Cũng giống như một bản đồ tuyến đường (route map) bình thường, có một tuyên bố ngầm định từ chối tất cả ở cuối, vì vậy hãy đảm bảo tạo một mục nhập bản đồ truy cập (access-map) cuối cùng cho phép tất cả các phương tiện giao thông khác. Như được hiển thị trên sơ đồ, chúng ta có hai máy (hosts) trong cùng một VLAN 100 (và cùng một mạng con Layer3 192.168.1.0/24) được kết nối trên cùng một Switch Layer3. Chúng ta muốn hạn chế quyền truy cập telnet từ Host1 đến Host2. Trước tiên, hãy xác minh kết nối giữa hai máy (hosts) khi chưa áp dụng VACL: H1#ping 192.168.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms H1#telnet 192.168.1.2 Trying 192.168.1.2… Open User Access Verification Username: --> Telnet thành công Cấu hình VACL trên Switch Layer3 để chặn telnet từ Host1 sang Host2 1. Configure an ACL to match telnet traffic from Host1 to Host2. SW-L3-TGM(config)#ip access-list extended Block_Telnet SW-L3-TGM(config-ext-nacl)#permit tcp host 192.168.1.1 host 192.168.1.2 eq 23 SW-L3-TGM(config-ext-nacl)#exit 2. Configure the Vlan Access Map a VACL SW-L3-TGM(config)#vlan access-map VACL_ Block_Telnet 10 <---Mục VACL đầu tiên SW-L3-TGM(config-access-map)#action drop <---đặt hành động loại bỏ (drop) SW-L3-TGM(config-access-map)#match ip address Block_Telnet <---khớp với ACL được cấu hình ở trên SW-L3-TGM(config-access-map)#vlan access-map VACL_ Block_Telnet 20 <--- Mục VACL thứ 2 SW-L3-TGM(config-access-map)#action forward <--- cho phép tất cả traffic SW-L3-TGM(config-access-map)#exit Lưu ý: - ACL trong Bước1 chứa một tuyên bố "cho phép" cho lưu lượng telnet giữa Host1 đến Host2. Điều này Không có nghĩa là chúng ta cho phép telnet. - Câu lệnh “allow” được sử dụng để so khớp lưu lượng telnet từ Host1 đến Host2 và sau đó drop lưu lượng đó vào bên trong bản đồ truy cập (access-map) VACL bằng lệnh “action drop” (xem Bước 2). 3. Apply the VACL on the VLAN SW-L3-TGM(config)#vlan filter VACL_ Block_Telnet vlan-list 100 4. Kiểm tra H1#telnet 192.168.1.2 Trying 192.168.1.2… % Connection timed out; remote host not responding --> Telnet đã bị chặn H1#192.168.1.2 80 Trying 192.168.1.2, 80 … Open H1#ping 192.168.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms Tuy nhiên, các hoạt động khác vẫn bình thường. Bài viết liên quan: - Lọc lưu lượng trên thiết bị chuyển mạch lớp 3 của Cisco sử dụng ACL và VACL
