Tài liệu Bài Viết VLan AccessList pdf

Khi cấu hình Vlan Access-list, người dùng có thể phân loại lưu lượng:ip, tcp, www…Tuỳ vào chính sách của nhà quả trị mạng có thể lọc bỏ hoạc cho các loại thông tin đó lưu thông trong mạn

Trang 1

Bài Viết VLan AccessList

Tác giả Trương Quang Dũng

Vlan Access-list (VACLs)là một trong những phương pháp nâng cao tính bảo mật trong mạng Cho phép kiểm soát lưu lượng chạy trên Switch Khi cấu hình Vlan Access-list, người dùng có thể phân loại lưu lượng:ip, tcp, www…Tuỳ vào chính sách của nhà quả trị mạng có thể lọc bỏ hoạc cho các loại thông tin đó lưu thông trong mạng

Vlan Access-list có thể áp dụng trong phạm vi Vlan, hoặc giữa các Vlan (intervlan)

Vlan Access-list có các dặc tính như Router Access-list(RACLs), có thể loại bỏ, cho qua, hay tái định hướng (redirection) các gói tin

Trong phạm vi bài Lab gồm hai phần:

-Phần 1: Minh hoạ đặc tính của VACLs trong phạm vi một Vlan

-Phần 2: Minh hoạ đặc tính của VACLs vượt khỏi phạm vi Vlan

Phần 1: Minh hoạ đặc tính của VACLs trong phạm vi một Vlan

Cấu hình Vlan Access-list cấm không cho các Work Station có địa chỉ IP trong khoảng

192.168.10.2/24 đến 192.168.10.15/24 không thể telnet vào Access Server, ngoại trừ

192.168.10.3/24 (192.168.10.3/24 vẫn có thể telnet vào)

Trang 3

Vnpro(vlan)#vtp domain Vnpro

Changing VTP domain name from NULL to Vnpro

Vnpro(vlan)#vlan 10 name Admin

Trang 4

00:06:40: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to down

Sau khi cấu hình Vlan, người dùng có thể đưa các port vào các Vlan tương ứng

Bước 2:

Cấu hình Vlan Accest-list

-Cấu hình access-list

Vnpro(config)#ip access-list extended VnproAllow1

Vnpro(config-ext-nacl)#permit tcp host 192.168.10.3 host 192.168.10.254 eq tenet

Vnpro(config-ext-nacl)#exit

Vnpro(config)#ip access-list extended VnproBlock1

Vnpro(config-ext-nacl)#permit tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet

Vnpro(config)#ip access-list extended VnproDefault1

Vnpro(config-ext-nacl)#permit tcp any any

Vnpro(config)#

Trang 5

kiểm tra thông tin về Access-list

Vnpro#show ip access-lists

Extended IP access list VnproAllow1

permit tcp host 192.168.10.3 host 192.168.10.254 eq telnet

Extended IP access list VnproBlock1

permit tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet

Extended IP access list VnproDefault1

permit tcp any any

Vnpro#

Khái niệm Access-list không còn bó hẹp trong ý nghĩa thông thường (dùng để chặn traffic, hay chặn các IP), Access-list được dùng để lọc , phân loại traffic, địa chỉ IP, sau đó đối với từng loại traffic hay IP đã phân loại, người dùng có thể có chính sách đối xử khác nhau

Lấy VD trong bài Lab này, dùng các Access-list phân các Work Station thành các nhóm sau

- VnproAllow1 tương ứng với host 192.168.10.3, loại traffic “tcp cụ thể là telnet”

-VnproBlock1 tương ứng với host từ 192.168.10.1/28 đến 192.168.10.15/28 , loại traffic “tcp cụ thể là telnet”

-VnproDefault tương ứng với các host còn lại trong Vlan 10, loại traffic “tcp cụ thể là telnet”

Sau tuỳ vào từng nhóm, người dùng có các chính sách khác nhau:cụ thể như sau:

-Đối với nhóm VnproAllow1: cho phép

-Đối với nhóm VnproBlock1: bị cấm (tức traffic tương ứng khi truy cập đến IP tương ứng trong nhóm này

sẽ bị DROP)

-Đối với nhóm VnproDefault1: cho phép

Nguyên tắc: sau khi có chính sách cấm các loại traffic truy cập đến các IP tương ứng nào đó, cần thiết

phải kết thúc với Access-list có nội dung “permit any any”, nếu không, do tính chất “implicit deny” của

Access-list, các host khác sẽ bị cấm đối với mọi loại traffic còn lại.

Trong trường hợp bài Lab, nhóm VnproDefault1 được dùng với chức năng nêu trên

Trang 6

Cấu hình Vlan Access-map (dùng để áp đặt chính sách đối với từng nhóm đã phân loại)Vnpro(config)#vlan access-map VnproMap1 10

Vnpro(config-access-map)#match ip address VnproAllow1

Vnpro(config-access-map)#action forward

Vnpro(config-access-map)#exit

Vnpro(config)#vlan access-map VnproMap1 20

Vnpro(config-access-map)#match ip address VnproBlock1

Vnpro(config-access-map)#action drop

Vnpro(config-access-map)#match ip address VnproDefault1

Vnpro(config-access-map)#end

00:18:33: %SYS-5-CONFIG_I: Configured from console by console

Kiểm tra thông tin về Vlan Access-map vừa cấu hình

Vnpro#show vlan access-map

Vlan access-map "VnproMap1" 10

Trang 8

Apply vào một Vlan (kích hoạt các Access-map trên Vlan 10)

Vnpro(config)#vlan fiter VnproMap1 vlan-list 10

Kiểm tra

Vnpro#show vlan filter

VLAN Map VnproMap1 is filtering VLANs:

10

Vnpro#

Kiểm tra sự hoạt động của Vlan Access-list sau khi kích hoạt bằng cách tiến hành telnet từ các Work Station 192.168.10.3/28 và 192.168.10.4/28 và ghi nhận kết quả

Work Station 192.168.10.3/28 vẫn telnet thành công vào Access Server 192.168.10.254 vì Work Station

này có địa chỉ IP được phân loại bởi nhóm VnproAllow1, và chính sách áp dụng cho nhóm này là “action:

forward”

Work Station 192.168.4/28 bị từ chối khi telnet vào Access Server 192.168.254 vì Work Station này có địa

chỉ IP được phân loại bợi nhóm VnproBlock1, và chính sách áp dụng cho nhóm này là “action: drop”

Đối với các Work Station còn lại nằm trong nhóm VnproDefault1 vẫn có thể telnet vào Access Server

192.168.10.254 vì chính sách đối với nhóm này là “action: forward”

Tuy nhiên khi chú ý cấu hình “VnproDefault1 ” như sau:

Trang 9

Vnpro(config)#

Với cấu hình như vậy, các Work Station trong nhóm VnproDefaul1 chỉ có thể telnet chứ không thể ping

thấy Access Server do “quên” dòng lệnh “permit ip any any”

Muốn ping thấy Access Server cần cấu hình như sau:

Vnpro(config-ext-nacl)#permit ip any any

Vnpro(config)#

Đó là do đặc tính “implicit deny” của Access-list Phần 2 sẽ minh hoạ việc khắc phục lỗi trên.

Một lưu ý khác:khi được kích hoạt, các Access-list sẽ kiểm tra theo thứ tự từ trên xuống, gặp dúng điều kiện, Switch sẽ áp đặt chính sách đã được cấu hình vào rồi kết thúc quá trình kiểm tra

Trong bài Lab này, nếu đổi thứ tự các Access-map, kết quả sẽ hoàn toàn khác

VD :nếu đặt vào”VnproMap1 10” cấu hình như sau:

Trang 10

Vnpro(config-access-map)#match ip address VnproDefault1

Access-map sẽ được kiểm tra từ trên xuống, ngay lần kiểm tra đầu tiên gặp “permit ip any any” vì tất cả các

IP đều thoả điều kiện “any any”Switch lập tức áp đặt chính sách “action: forward” và nhóm này rối kết

thúc quá trình kiểm tra

Kết quả : tất cả các Work Station đều có thể telnet vào Access Server 192.168.10.254 (kể cả các Work Station có địa chỉ IP trong khoảng 192.168.10.1/28 đến 192.168.10.15/28)

Vì vậy khi cấu hình, thứ tự các Access-list và Access-map là một điều hết sức quan trọng.

Phần 2: Minh hoạ đặc tính của VACLs vượt khỏi phạm vi Vlan

Trang 11

Dùng Cisco Router kết nối với MultiLayer Switch qua công FastEthernet có sơ đồ địa chỉ như hình vẽ, Router có hostname là “Remote” dùng làm Access Server.

Management IP của Vlan 20 là 192.168.20.1/24, các Work Station có địa chỉ từ

192.168.20.2…… 192.168.20.253/24

Cấu hình Vlan Access-list cấm không cho các Work Station có địa chỉ IP trong khoảng 192.168.20.2/24 đến 192.168.20.15/24 không thể telnet vào Access Server, ngoại trừ 192.168.20.3/24 (192.168.20.3/24 vẫn có thể telnet vào Remote router 10.200.0.2/24)

Các bước tiến hành tương tự như trên:

Cấu hình MLS trên Switch Vnpro

01:28:35: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up

01:28:36: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to upVnpro(config)#ip routing

Trang 12

Cấu hình địa chỉ IP và định tuyến trên Remote router

Gateway of last resort is not set

C 192.168.10.0/24 is directly connected, Vlan10

R 172.168.0.0/16 [120/1] via 10.200.0.2, 00:00:24, FastEthernet0/1

10.0.0.0/24 is subnetted, 1 subnets

Trang 13

C 10.200.0.0 is directly connected, FastEthernet0/1

Cấu hình các Vlan Access-list mới

C 172.168.0.0 is directly connected, Loopback0

R 192.168.20.0/24 [120/1] via 10.200.0.1, 00:00:09, Ethernet0/0 10.0.0.0/24 is subnetted, 1 subnets

C 10.200.0.0 is directly connected, Ethernet0/0

Remote#

Trang 14

Vnpro(config)#ip access-list extended VnproAllow2

Vnpro(config-ext-nacl)#permit tcp host 192.168.20.3 host 10.200.0.2 eq telnetVnpro(config-ext-nacl)#exit

Vnpro(config)#ip access-list extended VnproBlock2

Vnpro(config-ext-nacl)#permit tcp 192.168.20.0 0.0.0.15 host 10.200.0.2 eq telnetVnpro(config-ext-nacl)#exit

Vnpro(config-ext-nacl)#permit ip any any

Vnpro(config-ext-nacl)#end

Vnpro#

01:56:55: %SYS-5-CONFIG_I: Configured from console by console

Kiểm tra thông tin về Access-list

Vnpro#show ip access-lists

permit tcp any any

Trang 15

permit tcp any any

permit ip any any

Trang 16

Vnpro(config-access-map)#match ip address VnproAllow2Vnpro(config-access-map)#action forward

Vnpro(config-access-map)#match ip address VnproBlock2Vnpro(config-access-map)#action drop

Vnpro(config-access-map)#match ip address VnproDefault2Vnpro(config-access-map)#action forward

Vnpro(config-access-map)#end

Vnpro(config)#

Kiểm tra thông tin Vlan Access-list

Vnpro#show vlan access-map

Trang 18

trên Vlan 20 đều có thể telnet và Ping thành công Remote router

Work Station telnet thành công vào Remote router khi chưa áp dụng Vlan Access-map “VnproMap2” vào Vlan 20

Work Station ping thành công vào Remote router khi chưa áp dụng Vlan Access-map

“VnproMap2” vào Vlan 20

Áp dụng (apply) Vlan Access-map “VnproMap2” vào Vlan 20

Vnpro(config)#vlan filter VnproMap2 vlan-list 20

Trang 19

Kiểm tra cấu hình Vlan Access-map khi đã áp dụng vào các Vlan trên Switch

Lưu ý: không như ở phần1, sau khi áp dụng Vlan Access-map VnproMap2 vào Vlan 20

Work Station 192.168.20.4/28 chỉ bị cấm khi gửi traffic “tcp cụ thể là telnet” đến Remote router qua IP10.200.0.2/24, còn các loại traffic khác( trong trường hợp này là ip vẫn trong suốt (transparent) với Vlan Access-list)

Tính chất “implicit deny” của Access-list đã được khắc phục so với cấu hình trình bày ở phần1

Trang 20

Tham khảo sự khác biệt đó qua đặc điểm sau:

Phần 1:

Vnpro(config)#

Phần 2:

Vnpro(config-ext-nacl)#permit ip any any

Trang 21

match ip address VnproAllow1

vlan access-map VnproMap1 20

action drop

match ip address VnproBlock1

action forward

match ip address VnproDefault1

action forward

Trang 22

match ip address VnproAllow2vlan access-map VnproMap2 20 action drop

match ip address VnproBlock2vlan access-map VnproMap2 30 action forward

match ip address VnproDefault2vlan filter VnproMap1 vlan-list 10vlan filter VnproMap2 vlan-list 20

Trang 23

no ip address

!

interface FastEthernet0/6 switchport access vlan 10

no ip address

!

no ip address

!

no ip address

!

no ip address

!

no ip address

!

no ip address

!

Trang 25

ip http server

!

ip access-list extended VnproAllow1

ip access-list extended VnproAllow2

ip access-list extended VnproBlock1

ip access-list extended VnproBlock2

ip access-list extended VnproDefault1

permit tcp any any

ip access-list extended VnproDefault2

permit tcp any any

permit ip any any

Trang 26

VLAN Name Status Ports

- -

-1 default active Fa0/2, Fa0/3, Fa0/4, Gi0/ -1

Gi0/2

10 Admin active Fa0/5, Fa0/6, Fa0/7, Fa0/8

20 User active Fa0/9, Fa0/10, Fa0/11, Fa0/12

Trang 27

-Primary Secondary Type Ports

- - -

-Vnpro#show vlan access-map

Trang 28

permit tcp host 192.168.10.3 host 192.168.10.254 eq telnetExtended IP access list VnproAllow2

permit tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnetExtended IP access list VnproBlock2

permit tcp 192.168.20.0 0.0.0.15 host 10.200.0.2 eq telnetExtended IP access list VnproDefault1

permit tcp any any

permit ip any any

Trang 29

10

20

Vnpro#show ip route

Type escape sequence to abort

Sending 5, 100-byte ICMP Echos to 10.200.0.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

Vnpro#ping 172.168.0.1

Sending 5, 100-byte ICMP Echos to 172.168.0.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

Trang 30

service timestamps debug uptime

service timestamps log uptime

Trang 31

ip address 172.168.0.1 255.255.255.0

!

interface Ethernet0/0

ip address 10.200.0.2 255.255.255.0 half-duplex

Trang 32

no scheduler allocate

end

Remote#show ip route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP

i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area

* - candidate default, U - per-user static route, o - ODR

P - periodic downloaded static route

C 172.168.0.0 is directly connected, Loopback0

C 10.200.0.0 is directly connected, Ethernet0/0

Remote#ping 192.168.20.4

Tiêu đề	Vlan Access-list
Tác giả	Trương Quang Dũng
Trường học	Vnpro University
Chuyên ngành	Networking
Thể loại	bài viết
Năm xuất bản	2023
Thành phố	Hà Nội

Định dạng
Số trang	33
Dung lượng	214,5 KB