Lọc lưu lượng bằng VACL trên thiết bị chuyển mạch Switch Cisco Layer3

Lọc lưu lượng bằng VACL trên thiết bị chuyển mạch Switch Cisco Layer3

ACL đang sử dụng các IP và cổng nguồn và / hoặc đích để khớp trực tiếp các gói sẽ được lọc.

Mặt khác, VACL được sử dụng trong các mạng chuyển mạch nơi bạn muốn lọc lưu lượng trong VLAN. VACL tương tự về mặt logic với bản đồ tuyến đường nhưng thay vì các mục nhập “bản đồ tuyến đường”, chúng chứa các mục nhập “bản đồ truy cập”.

Mỗi mục nhập "bản đồ truy cập" chứa một câu lệnh đối sánh (sử dụng ACL thông thường) và chuyển tiếp hoặc bỏ các hành động tương ứng.

Bạn có thể có các câu lệnh đối sánh khác nhau cho mọi chuỗi bản đồ truy cập và chúng sẽ được xử lý theo thứ tự được nhập.

Cũng giống như một bản đồ tuyến đường bình thường, có một tuyên bố ngầm định từ chối tất cả ở cuối, vì vậy hãy đảm bảo tạo một mục nhập bản đồ truy cập cuối cùng cho phép tất cả các phương tiện giao thông khác.



Như được hiển thị trên sơ đồ, chúng ta có hai máy chủ trong cùng một VLAN 100 (và cùng một mạng con Layer3 192.168.1.0/24) được kết nối trên cùng một công tắc Layer3. Chúng tôi muốn hạn chế quyền truy cập telnet từ Host1 đến Host2.

Trước tiên, hãy xác minh kết nối giữa hai máy chủ mà không áp dụng VACL:

H1#ping 192.168.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

H1#telnet 192.168.1.2
Trying 192.168.1.2… Open
User Access Verification
Username:

Cấu hình VACL trên công tắc để chặn telnet từ Host1 sang Host2

1. Configure an ACL to match telnet traffic from Host1 to Host2.
SW1(config)#ip access-list extended Block_Telnet
SW1(config-ext-nacl)#permit tcp host 192.168.1.1 host 192.168.1.2 eq 23
SW1(config-ext-nacl)#exit

2. Configure the Vlan Access Map a VACL
SW1(config)#vlan access-map VACL_ Block_Telnet 10 < —- First VACL entry
SW1(config-access-map)#action drop < —- sets the action to drop
SW1(config-access-map)#match ip address Block_Telnet < — matches the ACL configured above

SW1(config-access-map)#vlan access-map VACL_ Block_Telnet 20 < —- Second VACL entry
SW1(config-access-map)#action forward < —- permits all other traffic
SW1(config-access-map)#exit

QUAN TRỌNG:

Cấu hình trên có thể trông khó hiểu. ACL trong Bước1 chứa một tuyên bố "cho phép" cho lưu lượng telnet giữa Host1 đến Host2. Điều này KHÔNG có nghĩa là chúng tôi cho phép telnet. Câu lệnh “allow” được sử dụng để so khớp lưu lượng telnet từ Host1 đến Host2 và sau đó giảm lưu lượng đó vào bên trong bản đồ truy cập VACL bằng lệnh “action drop” (xem Bước 2).

3. Apply the VACL on the VLAN
SW1(config)#vlan filter VACL_ Block_Telnet vlan-list 100

Verification

H1#ping 192.168.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

H1#telnet 192.168.1.2
Trying 192.168.1.2…
% Connection timed out; remote host not responding

Telnet on another port works fine

H1#192.168.1.2 80
Trying 192.168.1.2, 80 … Open

Chi tiết xem tại:
Lọc lưu lượng trên thiết bị chuyển mạch lớp 3 của Cisco sử dụng ACL và VACL