Trong bài viết này, sẽ thảo luận về danh sách điều khiển truy cập Vlan (VACL). VLAN Access-map cho phép chúng ta lọc lưu lượng đến và đi trong một Vlan Switch. Cấu hình VLAN access-map rất giống với cấu hình Route-map. Một Vlan access-map được đặt trên toàn bộ Vlan, có nghĩa là lưu lượng truy cập đến và đi trong một Vlan được lọc bởi Vlan access-map. Có thể áp dụng Vlan access-map cho danh sách truy cập Layer3 và cả danh sách truy cập Mac. Danh sách kiểm soát truy cập thông thường (ACL), là khái niệm được biết đến nhiều nhất, có một Deny IP ngụ ý bất kỳ bất kỳ (Deny IP any any) ở cuối. Tất nhiên, một VACL có cùng một tuyên bố từ chối ngụ ý, nhưng điều này không được khuyến khích, như chúng ta sẽ thấy tiếp theo. Bởi vì ACL thông thường chỉ kiểm tra lưu lượng gói tin Lớp 3, do đó nó không chặn các giao thức Lớp 2 như STP, VTP, ARP, v.v. Mặt khác, Vlan access-map chặn các giao thức L2 (ngoài Layer3), nếu không cho phép chúng một cách rõ ràng. Đó là lý do tại sao bạn nên có câu lệnh Deny tất cả vào cuối. Bây giờ xem xét chi tiết, hãy xem xét ví dụ sau: Chúng ta có hai Cisco Router R1 và R2 trong cùng một VLAN (Broadcast Domain) và chúng được kết nối với nhau thông qua một chuyển mạch Cisco Switch như hình dưới đây. Hãy chặn giao thức Telnet từ R1 và cho phép tất cả phần còn lại. Trước khi bắt đầu cấu hình, hãy kiểm tra xem telnet có hoạt động từ R1 hay không. R1#telnet 192.168.10.2 Trying 192.168.10.2 … Open User Access Verification Password: R1#quit Như chúng ta thấy, telnet đang hoạt động, vì vậy bây giờ chúng ta hãy bắt đầu cấu hình VLAN access-map sẽ chặn telnet và cho phép mọi thứ khác. Tạo danh sách truy cập, theo đó lưu lượng truy cập sẽ được đối sánh. Như đã nói, nguyên tắc của cấu hình bản đồ truy cập VLAN (VLAN access-map) tương tự như nguyên tắc làm việc của Route-map. Sau đó, đính kèm danh sách truy cập (access-list) này vào một VLAN access-map. Switch(config)#ip access-list extended restrict_telnet_R2 Switch(config-ext-nacl)#permit tcp host 192.168.10.1 host 192.168.10.2 eq 23 Sau đó, chúng ta sẽ tạo một VLAN access-map, có hai tham số chính: hành động (action) và đối sánh (match). Đối sánh(match): bằng tham số này, lưu lượng truy cập được khớp và ở đây RACL hoặc MAC ACL cũng có thể được áp dụng. Hành động(action): phải làm gì với lưu lượng truy cập phù hợp. Hai tham số chính tồn tại: Drop và Forward. Trong trường hợp Drop, lưu lượng truy cập phù hợp sẽ bị Drop và trong trường hợp chuyển tiếp (Forward), lưu lượng truy cập phù hợp sẽ được cho phép. Trong trường hợp sau, sẽ chặn lưu lượng truy cập đối sánh và cho phép tất cả phần còn lại trên thiết bị chuyển mạch Switch Cisco. Switch(config-ext-nacl)#vlan access-map VACL 10 Switch(config-access-map)#action drop Switch(config-access-map)#match ip address restrict_telnet_R2 Switch(config-access-map)#vlan access-map VACL 20 Switch(config-access-map)#action forward Switch(config-access-map)#exit Sau khi tạo bản đồ truy cập VLAN (Vlan access-map), nó sẽ được áp dụng cho một VLAN hoặc các VLAN. Trong trường hợp này, sẽ áp dụng nó cho VLAN 10 được chỉ định bởi "vlan-list 10". Switch(config)#vlan filter VACL vlan-list 10 Khi cấu hình này đã hoàn thành. Hãy xem telnet có bị chặn không và ping có hoạt động không. R1#ping 192.168.10.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.10.2, timeout is 2 seconds: !!!!! R1#telnet 192.168.10.2 Trying 192.168.10.2 … % Connection timed out; remote host not responding Như chúng ta thấy, ping vẫn ổn từ R1 và telnet bị chặn như chúng ta đã lên kế hoạch. Chúc các bạn thành công! Bài viết liên quan: - Cấu hình Vlan Access List (VACL) trên Switch Cisco Layer 3
