11.1 Tính dễ bị tổn thương
Một Switch mà không có cả access control list (ACL) lẫn ko ràng buột về việc áp ACL đến các interface của nó thì cho phép những kết nối TCP truy xuất 1 cách mênh
mông(FTP, telnet, DNS, HTTP, SNMP, ICMP) vượt qua Switch tới bất kỳ hệ thống nào(những server quan trọng) trên mạng được bảo vệ. Broad access nghĩa là tất cả hệ thống hay 1 lượng lớn hệ thống không thể kết nối vượt qua Switch. Cả hai trường hợp trên đều cho kết quả là tào ra những thông tin tập trung lớn hơn và tạo ra nhiều cuộc tấn công hơn. Vài sự tyruy xuât này có thể cho phép bởi mặc định và có thể được cấu hình theo cách này mà nó không rõ ràng đối với người quản trị
11.2 Giải Pháp
Trong sự chuẩn bị cho việc thực thi ACLs, phân loại hệ thống gắn Switch vào những nhóm mà sử dụng cùng những dịch vụ mạng. Việc nhóm những hệ thống theo cách này giúp làm tăng kích cỡ và sự phức tạp của sự kết hợp những ACLs. Trong môi trường mạng Voice, sử dụng những VLAN được phân chia cho CallManagers, SCCP IP Phones, SIP IP Phones, Proxies, MGCP gateways and H.323 gateways là 1 ví dụ tốt cho vấn đề này. Việc xem xét những dịch vụ mạng sử dụng những hệ thống tương tự từ những công ty khác nhau(như H.323 gateways) là sự cải tiến sâu hơn của những ACL có thể cảm
nhân thông qua những chính sách bảo mật mạng. Một lợi ích khác được tham chiếu từ Cisco cho sự hiểu biết về ACL ở [8]
ACL có thể cho phép hoặc cấm gói tin dựa trên lệnh điều khiển truy cập đầu tiên mà gói tin so sánh phù hợp. Nó cso những lọai khác nhau của Access Control Lists: Port Access Control List (PACL), Router Access Control List (RACL) và VLAN Access Control List (VACL).
11.2.1 Port Access Control List (PACL)
PACLs được sử dụng để hạn chế các gói tin cho phép đưa ra từ port. Nó có 2 loại PACL, IP PACL dựa trên IP access lists và IP access lists dựa trên MAC access lists. IP PACLs chỉ lọc những gói tin với IP ethertype. Việc tạo 1 chuẩn hay mở rộng IP access list và việc áp những access list đến 1 port của Switch ỏ tất cả thì được yêu cầu để thực thi IP PACLs
Trên những Switch mà hỗ trợ việc Unicast MAC, MAC PACLs sẽ lọc tất cả các gói tin mà không cần quan tâm đến Ethertype. Trên những Switch mà không hỗ trợ lọc Unicast MAC, MAC PACLs sẽ chỉ lọc những gói tin với những Ethertype thay vì IP. Bàn bạc việc đăng những ghi chú cho IOS trong việc sử dụng để phân tích để hỗ trợ Unicast MAC Filtering hay biểu diễn việc kiểm tra MAC filtering trước khi sử dụng MAC PACLs. Việc tạo 1 MAC access list mở rộng và việc áp những access list đến những interface của port của switch thì được yêu cầu để thực thi MAC PACLs