Bài Viết VLan AccessList Tác giả Trương Quang Dũng Vlan Access-list (VACLs)là phương pháp nâng cao tính bảo mật mạng Cho phép kiểm soát lưu lượng chạy Switch Khi cấu hình Vlan Access-list, người dùng phân loại lưu lượng:ip, tcp, www…Tuỳ vào sách nhà trị mạng lọc bỏ hoạc cho loại thơng tin lưu thơng mạng Vlan Access-list áp dụng phạm vi Vlan, Vlan (intervlan) Vlan Access-list có dặc tính Router Access-list(RACLs), loại bỏ, cho qua, hay tái định hướng (redirection) gói tin Trong phạm vi Lab gồm hai phần: -Phần 1: Minh hoạ đặc tính VACLs phạm vi Vlan -Phần 2: Minh hoạ đặc tính VACLs vượt khỏi phạm vi Vlan Phần 1: Minh hoạ đặc tính VACLs phạm vi Vlan Đồ hình Mơ tả:Trong Vlan 10 dùng Cisco Router dùng làm Access server, cấu hình với địa 192.168.10.254/24, cho phép telnet Management IP Vlan 10 192.168.10.1/24, Work Station có địa từ 192.168.10.2…… 192.168.1.253/24 Cấu hình Vlan Access-list cấm khơng cho Work Station có địa IP khoảng 192.168.10.2/24 đến 192.168.10.15/24 telnet vào Access Server, ngoại trừ 192.168.10.3/24 (192.168.10.3/24 telnet vào) Thông tin trạm 192.168.10.3 Dùng Work Station khoảng cấm để thử nghiệm:giả sử dùng trạm 192.168.10.4 Các bước cấu hình: Bước 1:Để mơ tả Lab, trước hết phải cấu hình gồm Vlan, máy trạm đồ hình Cấu hình Vlan Vnpro#vlan database Vnpro(vlan)#vtp domain Vnpro Changing VTP domain name from NULL to Vnpro Vnpro(vlan)#vlan 10 name Admin VLAN 10 added: Name: Admin Vnpro(vlan)#vlan 20 name User VLAN 20 added: Name: User Vnpro(vlan)#apply APPLY completed Vnpro(vlan)#exit APPLY completed Exiting Cấu hình Management IP cho Vlan Vnpro#config terminal Enter configuration commands, one per line End with CNTL/Z Vnpro(config)#interface vlan Vnpro(config-if)#ip address 192.168.1.1 255.255.255.0 Vnpro(config-if)#no shutdown Vnpro(config-if)#exit 00:06:14: %LINK-3-UPDOWN: Interface Vlan1, changed state to up Vnpro(config)#interface vlan 10 Vnpro(config-if)#ip address 192.168.10.1 255.255.255.0 Vnpro(config-if)#no shutdown Vnpro(config-if)#exit Vnpro(config)# 00:07:05: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to down Vnpro(config)#interface vlan 20 Vnpro(config-if)#ip address 192.168.20.1 255.255.255.0 Vnpro(config-if)#no shut Vnpro(config-if)#exit 00:06:40: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to down Sau cấu hình Vlan, người dùng đưa port vào Vlan tương ứng Bước 2: Cấu hình Vlan Accest-list -Cấu hình access-list Vnpro(config)#ip access-list extended VnproAllow1 Vnpro(config-ext-nacl)#permit tcp host 192.168.10.3 host 192.168.10.254 eq tenet Vnpro(config-ext-nacl)#exit Vnpro(config)#ip access-list extended VnproBlock1 Vnpro(config-ext-nacl)#permit tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet Vnpro(config-ext-nacl)#exit Vnpro(config)#ip access-list extended VnproDefault1 Vnpro(config-ext-nacl)#permit tcp any any Vnpro(config-ext-nacl)#exit Vnpro(config)# kiểm tra thông tin Access-list Vnpro#show ip access-lists Extended IP access list VnproAllow1 permit tcp host 192.168.10.3 host 192.168.10.254 eq telnet Extended IP access list VnproBlock1 permit tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet Extended IP access list VnproDefault1 permit tcp any any Vnpro# Khái niệm Access-list khơng cịn bó hẹp ý nghĩa thông thường (dùng để chặn traffic, hay chặn IP), Access-list dùng để lọc , phân loại traffic, địa IP, sau loại traffic hay IP phân loại, người dùng có sách đối xử khác Lấy VD Lab này, dùng Access-list phân Work Station thành nhóm sau - VnproAllow1 tương ứng với host 192.168.10.3, loại traffic “tcp cụ thể telnet” -VnproBlock1 tương ứng với host từ 192.168.10.1/28 đến 192.168.10.15/28 , loại traffic “tcp cụ thể telnet” -VnproDefault tương ứng với host lại Vlan 10, loại traffic “tcp cụ thể telnet” Sau tuỳ vào nhóm, người dùng có sách khác nhau:cụ thể sau: -Đối với nhóm VnproAllow1: cho phép -Đối với nhóm VnproBlock1: bị cấm (tức traffic tương ứng truy cập đến IP tương ứng nhóm bị DROP) -Đối với nhóm VnproDefault1: cho phép Nguyên tắc: sau có sách cấm loại traffic truy cập đến IP tương ứng đó, cần thiết phải kết thúc với Access-list có nội dung “permit any any”, khơng, tính chất “implicit deny” Access-list, host khác bị cấm loại traffic lại Trong trường hợp Lab, nhóm VnproDefault1 dùng với chức nêu Cấu hình Vlan Access-map (dùng để áp đặt sách nhóm phân loại) Vnpro(config)#vlan access-map VnproMap1 10 Vnpro(config-access-map)#match ip address VnproAllow1 Vnpro(config-access-map)#action forward Vnpro(config-access-map)#exit Vnpro(config)#vlan access-map VnproMap1 20 Vnpro(config-access-map)#match ip address VnproBlock1 Vnpro(config-access-map)#action drop Vnpro(config-access-map)#exit Vnpro(config)#vlan access-map VnproMap1 30 Vnpro(config-access-map)#match ip address VnproDefault1 Vnpro(config-access-map)#action forward Vnpro(config-access-map)#end 00:18:33: %SYS-5-CONFIG_I: Configured from console by console Kiểm tra thông tin Vlan Access-map vừa cấu hình Vnpro#show vlan access-map Vlan access-map "VnproMap1" 10 Match clauses: ip address: VnproAllow1 Action: forward Vlan access-map "VnproMap1" 20 Match clauses: ip address: VnproBlock1 Action: Drop Vlan access-map "VnproMap1" 30 Match clauses: ip address: VnproDefault1 Action: forward Vnpro# Muốn kích hoạt sách đó, phải áp dụng (apply) Access-map vào Vlan cụ thể (trong trường hợp Vlan 10 Trước Apply vào Vlan 10, host 192.168.10.3/28 192.168.10.4/28 telnet vào 192.168.10.254 Kết telnet thành công từ Work Station 192.168.10.3/24 192.168.10.4/24 vào Access Server 192.168.10.254 Apply vào Vlan (kích hoạt Access-map Vlan 10) Vnpro(config)#vlan fiter VnproMap1 vlan-list 10 Kiểm tra Vnpro#show vlan filter VLAN Map VnproMap1 is filtering VLANs: 10 Vnpro# Kiểm tra hoạt động Vlan Access-list sau kích hoạt cách tiến hành telnet từ Work Station 192.168.10.3/28 192.168.10.4/28 ghi nhận kết Work Station 192.168.10.3/28 telnet thành công vào Access Server 192.168.10.254 Work Station có địa IP phân loại nhóm VnproAllow1, sách áp dụng cho nhóm “action: forward” Work Station 192.168.4/28 bị từ chối telnet vào Access Server 192.168.254 Work Station có địa IP phân loại bợi nhóm VnproBlock1, sách áp dụng cho nhóm “action: drop” Đối với Work Station cịn lại nằm nhóm VnproDefault1 telnet vào Access Server 192.168.10.254 sách nhóm “action: forward” Tuy nhiên ý cấu hình “VnproDefault1 ” sau: Vnpro(config)#ip access-list extended VnproDefault1 Vnpro(config-ext-nacl)#permit tcp any any Vnpro(config-ext-nacl)#exit Vnpro(config)# Với cấu vậy, Work Station nhóm VnproDefaul1 telnet ping thấy Access Server “quên” dòng lệnh “permit ip any any” Muốn ping thấy Access Server cần cấu sau: Vnpro(config)#ip access-list extended VnproDefault1 Vnpro(config-ext-nacl)#permit tcp any any Vnpro(config-ext-nacl)#permit ip any any Vnpro(config-ext-nacl)#exit Vnpro(config)# Đó đặc tính “implicit deny” Access-list Phần minh hoạ việc khắc phục lỗi Một lưu ý khác:khi kích hoạt, Access-list kiểm tra theo thứ tự từ xuống, gặp dúng điều kiện, Switch áp đặt sách cấu hình vào kết thúc trình kiểm tra Trong Lab này, đổi thứ tự Access-map, kết hoàn toàn khác VD :nếu đặt vào”VnproMap1 10” cấu sau: Vnpro(config)#vlan access-map VnproMap1 10 Vnpro(config-access-map)#match ip address VnproDefault1 Vnpro(config-access-map)#action forward Vnpro(config-access-map)#exit Access-map kiểm tra từ xuống, lần kiểm tra gặp “permit ip any any” tất IP thoả điều kiện “any any”Switch áp đặt sách “action: forward” nhóm rối kết thúc trình kiểm tra Kết : tất Work Station telnet vào Access Server 192.168.10.254 (kể Work Station có địa IP khoảng 192.168.10.1/28 đến 192.168.10.15/28) Vì cấu hình, thứ tự Access-list Access-map điều quan trọng Phần 2: Minh hoạ đặc tính VACLs vượt khỏi phạm vi Vlan Đồ hình Cấu hình InterVlan Routing: Tham khảo cấu hình InterVlan Routing InterVlan Routing & MultiLayer Switching Trong trường hợp InterVlan Routing dùnh giao thức định tuyến Rip để dợn giản hoá cấu hình (vì mục tiêu là: minh hoạ VACLs) Mơ tả: Trong phần , cấu hình Vlan Access-list áp dụng vào Vlan 20 Kiểm tra cấu hình Vlan Access-map áp dụng vào Vlan Switch Vnpro#show vlan filter VLAN Map VnproMap1 is filtering VLANs: 10 VLAN Map VnproMap2 is filtering VLANs: 20 Kiểm tra hoạt động Vlan Access-list sau áp dụng Vlan Access-map “VnproMap2” vào Vlan 20 cách ping telnet Remote router từ Work Station ghi nhận kết Từ kết thấy:Work Station có IP 192.168.20.4/28 ping khơng thể telnet vào Remote router 10.200.0.2/24, qua thấy tính VACLs môi trường intervlan Lưu ý: không phần1, sau áp dụng Vlan Access-map VnproMap2 vào Vlan 20 Work Station 192.168.20.4/28 bị cấm gửi traffic “tcp cụ thể telnet” đến Remote router qua IP10.200.0.2/24, loại traffic khác( trường hợp ip suốt (transparent) với Vlan Access-list) Tính chất “implicit deny” Access-list khắc phục so với cấu hình trình bày phần1 Tham khảo khác biệt qua đặc điểm sau: Phần 1: Vnpro(config)#ip access-list extended VnproDefault1 Vnpro(config-ext-nacl)#permit tcp any any Vnpro(config-ext-nacl)#exit Vnpro(config)# Phần 2: Vnpro(config)#ip access-list extended VnproDefault2 Vnpro(config-ext-nacl)#permit tcp any any Vnpro(config-ext-nacl)#permit ip any any Vnpro(config-ext-nacl)#exit Vnpro(config)# Trong tất trường hợp, sử dụng Access-list nói chung, Cần ý trình tự Access-list sử dụng, đặc tính “implicit deny” chúng Phụ lục Cấu hình tham khảo Switch Vnpro ! hostname Vnpro ! enable secret $1$FW/z$z49gfElHWknNIvPIOfZEG0 enable password cisco ! ip subnet-zero ip routing ! ! spanning-tree mode pvst spanning-tree extend system-id ! ! vlan access-map Vnpr1 10 action forward vlan access-map VnproMap1 10 action forward match ip address VnproAllow1 vlan access-map VnproMap1 20 action drop match ip address VnproBlock1 vlan access-map VnproMap1 30 action forward match ip address VnproDefault1 vlan access-map VnproMap2 10 action forward match ip address VnproAllow2 vlan access-map VnproMap2 20 action drop match ip address VnproBlock2 vlan access-map VnproMap2 30 action forward match ip address VnproDefault2 vlan filter VnproMap1 vlan-list 10 vlan filter VnproMap2 vlan-list 20 ! ! interface FastEthernet0/1 no switchport ip address 10.200.0.1 255.255.255.0 ! interface FastEthernet0/2 no ip address ! interface FastEthernet0/3 no ip address ! interface FastEthernet0/4 no ip address ! interface FastEthernet0/5 switchport access vlan 10 no ip address ! interface FastEthernet0/6 switchport access vlan 10 no ip address ! interface FastEthernet0/7 switchport access vlan 10 no ip address ! interface FastEthernet0/8 switchport access vlan 10 no ip address ! interface FastEthernet0/9 switchport access vlan 20 no ip address ! interface FastEthernet0/10 switchport access vlan 20 no ip address ! interface FastEthernet0/11 switchport access vlan 20 no ip address ! interface FastEthernet0/12 switchport access vlan 20 no ip address ! interface GigabitEthernet0/1 no ip address ! interface GigabitEthernet0/2 no ip address ! interface Vlan1 ip address 192.168.1.1 255.255.255.0 ! interface Vlan10 ip address 192.168.10.1 255.255.255.0 ! interface Vlan20 ip address 192.168.20.1 255.255.255.0 ! router rip network 10.0.0.0 network 192.168.1.0 network 192.168.10.0 network 192.168.20.0 ! ip classless ip http server ! ip access-list extended VnproAllow1 permit tcp host 192.168.10.3 host 192.168.10.254 eq telnet ip access-list extended VnproAllow2 permit tcp host 192.168.20.3 host 10.200.0.2 eq telnet ip access-list extended VnproBlock1 permit tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet ip access-list extended VnproBlock2 permit tcp 192.168.20.0 0.0.0.15 host 10.200.0.2 eq telnet ip access-list extended VnproDefault1 permit tcp any any ip access-list extended VnproDefault2 permit tcp any any permit ip any any ! line line vty password cisco login line vty 15 login ! end Vnpro#show vlan VLAN Name Status Ports - default active Fa0/2, Fa0/3, Fa0/4, Gi0/1 Gi0/2 10 Admin active 20 User active 1002 fddi-default Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 active 1003 token-ring-default 1004 fddinet-default active active 1005 trnet-default active VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 - - -1 enet 100001 1500 - - - - - 0 10 enet 100010 1500 - - - - - 0 20 enet 100020 1500 - - - - - 0 1002 fddi 101002 1500 - - - - - 0 1003 tr 101003 1500 - - - - - 0 1004 fdnet 101004 1500 - - - ieee - 0 1005 trnet 101005 1500 - - - ibm - 0 Remote SPAN VLANs Primary Secondary Type Ports - - - Vnpro#show vlan access-map Vlan access-map "VnproMap1" 10 Match clauses: ip address: VnproAllow1 Action: forward Vlan access-map "VnproMap1" 20 Match clauses: ip address: VnproBlock1 Action: drop Vlan access-map "VnproMap1" 30 Match clauses: ip address: VnproDefault1 Action: forward Vlan access-map "VnproMap2" 10 Match clauses: ip address: VnproAllow2 Action: forward Vlan access-map "VnproMap2" 20 Match clauses: ip address: VnproBlock2 Action: drop Vlan access-map "VnproMap2" 30 Match clauses: ip address: VnproDefault2 Action: forward Vnpro#show ip access-list Extended IP access list VnproAllow1 permit tcp host 192.168.10.3 host 192.168.10.254 eq telnet Extended IP access list VnproAllow2 permit tcp host 192.168.20.3 host 10.200.0.2 eq telnet Extended IP access list VnproBlock1 permit tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet Extended IP access list VnproBlock2 permit tcp 192.168.20.0 0.0.0.15 host 10.200.0.2 eq telnet Extended IP access list VnproDefault1 permit tcp any any Extended IP access list VnproDefault2 permit tcp any any permit ip any any Vnpro#show vlan filter VLAN Map VnproMap1 is filtering VLANs: 10 VLAN Map VnproMap2 is filtering VLANs: 20 Vnpro#show ip route Gateway of last resort is not set C 192.168.10.0/24 is directly connected, Vlan10 R 172.168.0.0/16 [120/1] via 10.200.0.2, 00:00:21, FastEthernet0/1 C 192.168.20.0/24 is directly connected, Vlan20 10.0.0.0/24 is subnetted, subnets C 10.200.0.0 is directly connected, FastEthernet0/1 Vnpro#ping 10.200.0.2 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 10.200.0.2, timeout is seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms Vnpro#ping 172.168.0.1 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 172.168.0.1, timeout is seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms Vnpro# Cấu hình tham khảo Remote Router Remote#show running-config Building configuration Current configuration : 690 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Remote ! enable secret $1$wDfm$5zcN0Px2wrN0be6jV74m60 enable password cisco ! memory-size iomem 10 ip subnet-zero ! ! ! call rsvp-sync ! interface Loopback0 ip address 172.168.0.1 255.255.255.0 ! interface Ethernet0/0 ip address 10.200.0.2 255.255.255.0 half-duplex ! interface Serial0/0 no ip address shutdown no fair-queue ! router rip network 10.0.0.0 network 172.168.0.0 ! ip classless ip http server ip pim bidir-enable ! dial-peer cor custom ! line line aux line vty password cisco login ! no scheduler allocate end Remote#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set R 192.168.10.0/24 [120/1] via 10.200.0.1, 00:00:25, Ethernet0/0 172.168.0.0/24 is subnetted, subnets C R 172.168.0.0 is directly connected, Loopback0 192.168.20.0/24 [120/1] via 10.200.0.1, 00:00:25, Ethernet0/0 10.0.0.0/24 is subnetted, subnets C 10.200.0.0 is directly connected, Ethernet0/0 Remote#ping 192.168.20.4 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.20.4, timeout is seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms Remote#telnet 192.168.20.4 Trying 192.168.20.4 % Connection refused by remote host Remote# ... Vnpro(config) #vlan filter VnproMap2 vlan- list 20 Kiểm tra cấu hình Vlan Access-map áp dụng vào Vlan Switch Vnpro#show vlan filter VLAN Map VnproMap1 is filtering VLANs: 10 VLAN Map VnproMap2 is filtering VLANs:... (kích hoạt Access-map Vlan 10) Vnpro(config) #vlan fiter VnproMap1 vlan- list 10 Kiểm tra Vnpro#show vlan filter VLAN Map VnproMap1 is filtering VLANs: 10 Vnpro# Kiểm tra hoạt động Vlan Access-list... phải cấu hình gồm Vlan, máy trạm đồ hình Cấu hình Vlan Vnpro #vlan database Vnpro (vlan) #vtp domain Vnpro Changing VTP domain name from NULL to Vnpro Vnpro (vlan) #vlan 10 name Admin VLAN 10 added: