Lọc lưu lượng trên thiết bị chuyển mạch lớp 3 của Cisco sử dụng ACL và VACL

Các thiết bị của Cisco cung cấp các tính năng tuyệt vời để lọc lưu lượng. Danh sách kiểm soát truy cập cổ điển (ACL - Access Control List) là cơ chế cốt lõi trên các thiết bị mạng của Cisco (bộ định tuyến, thiết bị chuyển mạch, v.v.) được sử dụng chủ yếu để lọc lưu lượng.

Trong bài viết này, chúng ta sẽ xem xét một loại ACL khác, được gọi là Danh sách điều khiển truy cập Vlan (VACL - Vlan Access Control List) hoạt động hơi khác so với ACL cổ điển.

Khi thiết lập bất kỳ mạng nào, bạn cần có toàn quyền kiểm soát lưu lượng truy cập vào và ra khỏi mạng của mình. Hầu hết các trường hợp đều sử dụng tính năng lọc để cho phép hoặc từ chối lưu lượng truy cập được định tuyến cụ thể từ một mạng con Layer3 đến một mạng con Layer3 khác.

Thông thường loại lọc này được điều khiển bởi các ACL lọc lưu lượng được định tuyến (tức là lưu lượng giữa các mạng Layer3 khác nhau).

Điều gì sẽ xảy ra nếu chúng ta muốn kiểm soát luồng lưu lượng trong cùng một VLAN (trong cùng một mạng Layer3)? Điều này có thể đạt được bằng cách sử dụng VACL (Vlan Access Control List) có thể chặn hoặc cho phép luồng lưu lượng trong cùng một VLAN.

VACL được hỗ trợ trên các thiết bị chuyển mạch Lớp3 của Cisco. Trong bài viết này, chúng ta sẽ xem xét hai ví dụ lọc đơn giản:

1. Lọc lưu lượng trên Switch Lớp3 sử dụng ACL cổ điển để kiểm soát lưu lượng giữa các mạng lớp3.

2. Lọc lưu lượng trên Switch Layer3 sử dụng Vlan ACL (VACL) để kiểm soát lưu lượng trong cùng một mạng layer3 (vlan).

I. Lọc lưu lượng sử dụng ACL cổ điển trên thiết bị chuyển mạch Cisco Layer 3

Như bạn đã học trong CCNA, bạn có thể lọc lưu lượng truy cập bằng ACL có thể là:

• ACL tiêu chuẩn: Chỉ chứa địa chỉ IP nguồn.
• ACL mở rộng: Chứa cả IP nguồn / đích và các cổng.

Cũng có thể thực hiện lọc bằng cách sử dụng danh sách tiền tố(prefix-lists) và bản đồ tuyến đường (route-maps).

Trong ví dụ lọc ACL đơn giản đầu tiên này, yêu cầu là chặn lưu lượng telnet từ Host1 đến Host2. Để đạt được điều này, chúng ta sẽ sử dụng ACL mở rộng được áp dụng hường vào (inbound) trên một trong các Giao diện VLAN Switch (SVI) (vlan 10) của Switch Layer3 như được hiển thị bên dưới.

​

Trước tiên, hãy xác minh kết nối giữa các máy (hosts) trước khi áp dụng ACL:

H1#ping 172.16.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

H1#telnet 172.16.0.1
Trying 172.16.0.1 … Open
User Access Verification
Username:

Như hình trên, chúng ta có kết nối giữa hai máy (hosts). Chúng ta có thể sử dụng lọc ACL, cụ thể sẽ chặn phiên telnet từ Host1 đến Host2 bằng cách sử dụng ACL được áp dụng gửi đến trên giao diện SVI cho VLAN10 của chuyển mạch (Switch Layer3).

GHI CHÚ:

Một ACL được áp dụng theo hướng vào trên giao diện SVI (giao diện vlan 10) chặn lưu lượng truy cập đến từ các máy (hosts) được kết nối với các cổng VLAN10 về phía chuyển mạch.

Cấu hình trên Switch Cisco L3 chặn telnet từ Host1 sang Host2.

1. Configure ACL on the switch to block telnet

ip access-list extended Block_Telnet
deny tcp host 192.168.1.1 host 172.16.0.1 eq 23
permit ip any any <--- Cho phép tất cả

2. Apply the ACL to the SVI Interface of the switch

interface Vlan10 <--- Giao diện SVI (Vlan10) của Layer3 switch
description to Host1
ip address 192.168.1.2 255.255.255.0
ip access-group Block_Telnet in <--- Áp dụng ACL để lọc lưu lượng truy cập đến SVI (Vlan10) từ Host1

interface Vlan20 <--- Giao diện SVI (Vlan20) của Layer3 switch (no ACL on this one)
description to Host2
ip address 172.16.0.2 255.255.255.0

3. Kiểm tra

H1#telnet 172.16.0.1
Trying 172.16.0.1 ….
% Connection timed out; remote host not responding

--> Như bạn có thể thấy, lưu lượng telnet đã bị chặn.

II. Lọc lưu lượng bằng VACL trên Switch Cisco Layer3

ACL đang sử dụng các IP và cổng nguồn / hoặc đích để khớp trực tiếp các gói sẽ được lọc.

VACL thì khác, VACL được sử dụng trong các mạng chuyển mạch nơi bạn muốn lọc lưu lượng trong VLAN. VACL tương tự về mặt logic với bản đồ tuyến đường (route maps) nhưng thay vì nhập “route-map”, chúng chứa các mục nhập “access-map”.

Mỗi mục nhập "access-map" chứa một câu lệnh đối sánh (sử dụng ACL thông thường) và chuyển tiếp hoặc bỏ (drop) các hành động tương ứng.

Bạn có thể có các câu lệnh đối sánh khác nhau cho mọi chuỗi bản đồ truy cập (access-map) và chúng sẽ được xử lý theo thứ tự được nhập.

Cũng giống như một bản đồ tuyến đường (route map) bình thường, có một tuyên bố ngầm định từ chối tất cả ở cuối, vì vậy hãy đảm bảo tạo một mục nhập bản đồ truy cập (access-map) cuối cùng cho phép tất cả các phương tiện giao thông khác.

​

Như được hiển thị trên sơ đồ, chúng ta có hai máy (hosts) trong cùng một VLAN 100 (và cùng một mạng con Layer3 192.168.1.0/24) được kết nối trên cùng một Switch Layer3. Chúng ta muốn hạn chế quyền truy cập telnet từ Host1 đến Host2.

Trước tiên, hãy xác minh kết nối giữa hai máy (hosts) khi chưa áp dụng VACL:

H1#ping 192.168.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

H1#telnet 192.168.1.2
Trying 192.168.1.2… Open
User Access Verification
Username:

Cấu hình VACL trên Switch Layer3 để chặn telnet từ Host1 sang Host2

1. Configure an ACL to match telnet traffic from Host1 to Host2.
SW-L3-TGM(config)#ip access-list extended Block_Telnet
SW-L3-TGM(config-ext-nacl)#permit tcp host 192.168.1.1 host 192.168.1.2 eq 23
SW-L3-TGM(config-ext-nacl)#exit

2. Configure the Vlan Access Map a VACL
SW-L3-TGM(config)#vlan access-map VACL_ Block_Telnet 10 <--- First VACL entry
SW-L3-TGM(config-access-map)#action drop <--- sets the action to drop
SW-L3-TGM(config-access-map)#match ip address Block_Telnet <--- matches the ACL configured above

SW-L3-TGM(config-access-map)#vlan access-map VACL_ Block_Telnet 20 <--- Second VACL entry
SW-L3-TGM(config-access-map)#action forward <--- permits all other traffic
SW-L3-TGM(config-access-map)#exit

Lưu ý:

- ACL trong Bước1 chứa một tuyên bố "cho phép" cho lưu lượng telnet giữa Host1 đến Host2. Điều này KHÔNG có nghĩa là chúng ta cho phép telnet.
- Câu lệnh “allow” được sử dụng để so khớp lưu lượng telnet từ Host1 đến Host2 và sau đó drop lưu lượng đó vào bên trong bản đồ truy cập (access-map) VACL bằng lệnh “action drop” (xem Bước 2).

3. Apply the VACL on the VLAN
SW1(config)#vlan filter VACL_ Block_Telnet vlan-list 100

Kiểm tra

H1#ping 192.168.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

H1#telnet 192.168.1.2
Trying 192.168.1.2…
% Connection timed out; remote host not responding

--> Telnet trên port 23 đã bị chặn
Tuy nhiên, Telnet trên một cổng khác hoạt động bình thường.

H1#192.168.1.2 80
Trying 192.168.1.2, 80 … Open

III. Kết luận VACL vs ACL

Sau khi cấu hình cả VACL và ACL trong bài viết này, bạn hẳn đã tìm ra sự khác biệt giữa hai loại này.

Tóm tắt sơ lược như bên dưới:

- VACL là một khái niệm Lớp 2. Nó có thể được áp dụng trên một VLAN để hạn chế và kiểm soát luồng lưu lượng trên các máy chủ trong cùng một VLAN lớp 2 trên mạng nội bộ (tức là cùng một mạng con).

- ACL là một khái niệm Lớp 3. Danh sách kiểm soát truy cập (ACL) kiểm soát lưu lượng truy cập Lớp 3 giữa các VLAN / mạng con khác nhau (mạng Lớp 3). Vì vậy, nó hoạt động trên lưu lượng liên VLAN.

Hy vọng bài viết hữu ích cho các bạn trong công việc. Chúc các bạn thành công.