Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 11 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
11
Dung lượng
169,54 KB
Nội dung
VLan AccessList Tác giả Trương Quang Dũng Vlan Access-list (VACLs)là một trong những phương pháp nâng cao tính bảo mật trong mạng. Cho phép kiểm soát lưu lượng chạy trên Switch. Khi cấu hình Vlan Access-list, người dùng có thể phân loại lưu lượng:ip, tcp, www…Tuỳ vào chính sách của nhà quả trị mạng có thể lọc bỏ hoạc cho các loại thông tin đó lưu thông trong mạng. Vlan Access-list có thể áp dụng trong phạm vi Vlan, hoặc giữa các Vlan (intervlan) Vlan Access-list có các dặc tính như Router Access-list(RACLs), có thể loại bỏ, cho qua, hay tái định hướng (redirection) các gói tin Trong phạm vi bài Lab gồm hai phần: -Phần 1: Minh hoạ đặc tính của VACLs trong phạm vi một Vlan -Phần 2: Minh hoạ đặc tính của VACLs vượt khỏi phạm vi Vlan Phần 1: Minh hoạ đặc tính của VACLs trong phạm vi một Vlan Đồ hình Mô tả:Trong Vlan 10 dùng một Cisco Router dùng làm Access server, được cấu hình với địa chỉ 192.168.10.254/24, cho phép telnet. Management IP của Vlan 10 là 192.168.10.1/24, các Work Station có địa Error! chỉ từ 192.168.10.2…… 192.168.1.253/24. Cấu hình Vlan Access-list cấm không cho các Work Station có địa chỉ IP trong khoảng 192.168.10.2/24 đến 192.168.10.15/24 không thể telnet vào Access Server, ngoại trừ 192.168.10.3/24 (192.168.10.3/24 vẫn có thể telnet vào). Thông tin về trạm 192.168.10.3 Dùng một Work Station trong khoảng cấm để thử nghiệm:giả sử dùng trạm 192.168.10.4 Các bước cấu hình: Bước 1:Để mô tả bài Lab, trước hết phải cấu hình cơ bản gồm Vlan, v à các máy trạm như đồ hình Cấu hình Vlan Vnpro#vlan database Vnpro(vlan)#vtp domain Vnpro Error! Error! Changing VTP domain name from NULL to Vnpro Vnpro(vlan)#vlan 10 name Admin VLAN 10 added: Name: Admin Vnpro(vlan)#vlan 20 name User VLAN 20 added: Name: User Vnpro(vlan)#apply APPLY completed. Vnpro(vlan)#exit APPLY completed. Exiting Cấu hình Management IP cho các Vlan Vnpro#config terminal Enter configuration commands, one per line. End with CNTL/Z. Vnpro(config)#interface vlan 1 Vnpro(config-if)#ip address 192.168.1.1 255.255.255.0 Vnpro(config-if)#no shutdown Vnpro(config-if)#exit 00:06:14: %LINK-3-UPDOWN: Interface Vlan1, changed state to up Vnpro(config)#interface vlan 10 Vnpro(config-if)#ip address 192.168.10.1 255.255.255.0 Vnpro(config-if)#no shutdown Vnpro(config - if)#exit Vnpro(config)# 00:07:05: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to down Vnpro(config)#interface vlan 20 Vnpro(config-if)#ip address 192.168.20.1 255.255.255.0 Vnpro(config-if)#no shut Vnpro(config-if)#exit 00:06:40: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to down Sau khi cấu hình Vlan, người dùng có thể đưa các port vào các Vlan tương ứng Bước 2: Cấu hình Vlan Accest-list -Cấu hình access-list Vnpro(config)#ip access-list extended VnproAllow1 Vnpro(config-ext-nacl)#permit tcp host 192.168.10.3 host 192.168.10.254 eq tenet Vnpro(config-ext-nacl)#exit Vnpro(config)#ip access-list extended VnproBlock1 Vnpro(config-ext-nacl)#permit tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet Vnpro(config-ext-nacl)#exit Vnpro(config)#ip access-list extended VnproDefault1 Vnpro(config - ext - nacl)#permit tcp any any Vnpro(config-ext-nacl)#exit Vnpro(config)# kiểm tra thông tin về Access-list Vnpro#show ip access-lists Extended IP access list VnproAllow1 permit tcp host 192.168.10.3 host 192.168.10.254 eq telnet Extended IP access list VnproBlock1 permit tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet Extended IP access list VnproDefault1 permit tcp any any Vnpro# Khái niệm Access-list không còn bó hẹp trong ý nghĩa thông thườ ng (dùng để chặn traffic, hay chặn các IP), Access-list được dùng để lọc , phân loại traffic, địa chỉ IP, sau đó đối với từng loại traffic hay IP đã phân loại, người dùng có thể có chính sách đối xử khác nhau. Lấy VD trong bài Lab này, dùng các Access-list phân các Work Station thành các nhóm sau - VnproAllow1 tương ứng với host 192.168.10.3, loại traffic “tcp cụ thể là telnet” -VnproBlock1 tương ứng với host từ 192.168.10.1/28 đến 192.168.10.15/28 , loại traffic “tcp cụ thể là telnet” -VnproDefault tương ứng với các host còn lại trong Vlan 10, loại traffic “tcp cụ thể là telnet” Sau tuỳ vào từng nhóm, người dùng có các chính sách khác nhau:cụ thể Enter configuration commands, one per line. End with CNTL/Z. Vnpro(config)#vlan access-map VnproMap2 10 Vnpro(config-access-map)#match ip address VnproAllow2 Vnpro(config-access-map)#action forward Vnpro(config-access-map)#exit Vnpro(config)#vlan access-map VnproMap2 20 Vnpro(config-access-map)#match ip address VnproBlock2 Vnpro(config-access-map)#action drop Vnpro(config-access-map)#exit Vnpro(config)#vlan access-map VnproMap2 30 Vnpro(config-access-map)#match ip address VnproDefault2 Vnpro(config-access-map)#action forward Vnpro(config-access-map)#end Vnpro(config)# Kiểm tra thông tin Vlan Access-list Vnpro#show vlan access-map Vlan access-map "VnproMap1" 10 Match clauses: ip address: VnproAllow1 Action: forward Vlan access-map "VnproMap1" 20 Match clauses: ip address: VnproBlock1 Action: drop Vlan access-map "VnproMap1" 30 Match clauses: ip address: VnproDefault1 Action: forward Vlan access-map "VnproMap2" 10 Match clauses: ip address: VnproAllow2 Action: forward Vlan access-map "VnproMap2" 20 Match clauses: ip address: VnproBlock2 Action: drop Vlan access-map "VnproMap2" 30 Match clauses: ip address: VnproDefault2 Action: forward Vnpro# Khi chưa áp dụng (apply) Vlan Access-map “VnproMap2” vào Vlan 20, tất cả các Work Station trên Vlan 20 đều có thể telnet và Ping thành công Remote router Work Station telnet thành công vào Remote router khi chưa áp dụng Vlan Access-map “VnproMap2” vào Vlan 20 Error! Work Station ping thành công vào Remote router khi chưa áp dụng Vlan Access-map “VnproMap2” vào Vlan 20 Áp dụng (apply) Vlan Access-map “VnproMap2” vào Vlan 20 Error! Vnpro(config)#vlan filter VnproMap2 vlan - list 20 Kiểm tra cấu hình Vlan Access-map khi đã áp dụng vào các Vlan trên Switch Vnpro#show vlan filter VLAN Map VnproMap1 is filtering VLANs: 10 VLAN Map VnproMap2 is filtering VLANs: 20 Kiểm tra sự hoạt động của Vlan Access-list sau khi áp dụng Vlan Access- map “VnproMap2” vào Vlan 20 bằng cách ping và telnet Remote router t ừ các Work Station và ghi nhận kết quả. Error! Từ kết quả trên có thể thấy:Work Station có IP 192.168.20.4/28 chỉ có thể ping chứ không thể telnet vào Remote router 10.200.0.2/24, qua đó thấy được tính năng của VACLs trong môi trường intervlan. Lưu ý: không như ở phần1, sau khi áp dụng Vlan Access- map VnproMap2 vào Vlan 20 Work Station 192.168.20.4/28 chỉ bị cấm khi gửi traffic “tcp cụ thể là telnet” đến Remote router qua IP10.200.0.2/24, còn các loại traffic khác( trong trường hợp này là ip vẫn trong suốt (transparent) với Vlan Access- list) Tính chất “implicit deny” của Access-list đã được khắc phục so với cấu hình trình bày ở phần1. Tham khảo sự khác biệt đó qua đặc điểm sau: Phần 1: Vnpro(config)#ip access-list extended VnproDefault1 Vnpro(config-ext-nacl)#permit tcp any any Vnpro(config-ext-nacl)#exit Vnpro(config)# Phần 2: Vnpro(config)#ip access-list extended VnproDefault2 Vnpro(config-ext-nacl)#permit tcp any any Vnpro(config-ext-nacl)#permit ip any any Vnpro(config-ext-nacl)#exit Vnpro(config)# Trong tất cả mọi trường hợp, khi sử dụng Access-list nói chung, C ần chú ý trình tự của các Access-list sử dụng, và đ ặc tính “implicit deny” của chúng . Phụ lục Cấu hình tham khảo của Switch Vnpro hostname Vnpro enable secret 5 $1$FW/z$z49gfElHWknNIvPIOfZEG0 enable password cisco ip subnet-zero ip routing