Lọc lưu lượng sử dụng ACL trên thiết bị chuyển mạch Cisco Layer 3

Thảo luận trong 'Mua bán, quảng cáo khác' bắt đầu bởi bocvip, 7/4/21.

  1. bocvip

    bocvip New Member

    Lọc lưu lượng sử dụng ACL cổ điển trên thiết bị chuyển mạch Switch Cisco Layer 3

    Như bạn đã học trong CCNA, bạn có thể lọc lưu lượng truy cập bằng ACL có thể là:

    ACL tiêu chuẩn: Chỉ chứa địa chỉ IP nguồn.
    ACL mở rộng: Chứa cả IP nguồn / đích và các cổng.

    Cũng có thể thực hiện lọc bằng cách sử dụng danh sách tiền tố và bản đồ tuyến đường nhưng đó không phải là mục tiêu của hướng dẫn này.

    Trong ví dụ lọc ACL đơn giản đầu tiên này, yêu cầu là chặn lưu lượng telnet từ Host1 đến Host2. Để đạt được điều này, chúng tôi sẽ sử dụng ACL mở rộng được áp dụng trong nước trên một trong các Giao diện VLAN Switch (SVI) (vlan 10) của công tắc Layer3 như được hiển thị bên dưới.

    [​IMG]

    Trước tiên, hãy xác minh kết nối giữa các máy chủ trước khi áp dụng ACL:

    H1#ping 172.16.0.1
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 172.16.0.1, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

    H1#telnet 172.16.0.1
    Trying 172.16.0.1 … Open
    User Access Verification
    Username:

    Như hình trên, chúng ta có kết nối giữa hai máy chủ. Để chứng minh cách bạn có thể sử dụng lọc ACL, tôi sẽ chặn phiên telnet từ Host1 đến Host2 bằng cách sử dụng ACL được áp dụng gửi đến trên giao diện SVI cho VLAN10 của công tắc.

    GHI CHÚ:

    Một ACL được áp dụng gửi đến trên giao diện SVI (giao diện vlan 10) chặn lưu lượng truy cập đến từ các máy chủ được kết nối với các cổng VLAN10 về phía chuyển mạch.

    Cấu hình trên Switch Cisco sẽ chặn telnet từ Host1 sang Host2.

    1. Configure ACL on the switch to block telnet

    ip access-list extended Block_Telnet
    deny tcp host 192.168.1.1 host 172.16.0.1 eq 23
    permit ip any any < —- permit all other traffic

    2. Apply the ACL to the SVI Interface of the switch

    interface Vlan10 < —- This is the first SVI of the Layer3 switch for VLAN10
    description to Host1
    ip address 192.168.1.2 255.255.255.0
    ip access-group Block_Telnet in < — Apply the ACL inbound to filter traffic that comes in the SVI from Host1

    interface Vlan20 < —- This is the second SVI of the Layer3 switch for VLAN20 (no ACL on this one)
    description to Host2
    ip address 172.16.0.2 255.255.255.0

    3. Verification

    H1#telnet 172.16.0.1
    Trying 172.16.0.1 ….
    % Connection timed out; remote host not responding

    --> Như bạn có thể thấy, lưu lượng telnet đã bị chặn.

    Chi tiết xem tại: Lọc lưu lượng trên thiết bị chuyển mạch lớp 3 của Cisco sử dụng ACL và VACL
     
    bocvip, 7/4/21
    #1

trang này