Còn nếu các host trong cùng 1 VLAN , mà cần chặn không cho thông sang nhau, ví dụ như dưới Ta có thể dùng tính năng Vlan access list trên switch, để switch đọc IP của các host trong gói tin và cấm hoặ[.]
Trang 1Còn nếu các host trong cùng 1 VLAN , mà cần chặn không cho thông sang nhau,
ví dụ như dưới:
Ta có thể dùng tính năng Vlan access list trên switch, để switch đọc IP của các
host trong gói tin và cấm hoặc allow
Cấu hình trên Swich Cisco:
access-list 100 permit ip host 192.168.1.1 host 192.168.1.100 ##Gom các IP nào
cần cấm
vlan access-map DENY-ACCESS-SERVER 10 ##Tạo Vlan access-map, số 10 là
số thứ tự thôi
match ip address 100 ##bắt danh sách cấm vừa tạo bên trên
action drop ##thực hiện drop
vlan access-map DENY-ACCESS-SERVER 20 ##Tạo tiếp dòng số 20, với các
IP không bị cấm thì allow
action forward ##thực hiện cho qua
Trang 2##Apply cho vlan mà chứa các host ở trên, ở đây là vlan 1#####
vlan filter DENY-ACCESS-SERVER vlan-list 1
Trước khi apply VACL, ta ping từ PC1-192.168.1.1 vào server 192.168.100 vẫn
ok, do cùng vlan
Sau khi apply VACL thì PC1 không ping được nữa, chỉ còn ping được từ PC2-192.168.1.2 vào server
Lệnh show:
show vlan access-map
show vlan filter
DONE