Tải bản đầy đủ (.doc) (33 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Tài liệu Bài Viết VLan AccessList pdf

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (276.69 KB, 33 trang )

Bài Viết VLan AccessList

Tác giả Trương Quang Dũng
Vlan Access-list (VACLs)là một trong những phương pháp nâng cao tính bảo mật trong mạng.
Cho phép kiểm soát lưu lượng chạy trên Switch. Khi cấu hình Vlan Access-list, người dùng có
thể phân loại lưu lượng:ip, tcp, www…Tuỳ vào chính sách của nhà quả trị mạng có thể lọc bỏ
hoạc cho các loại thông tin đó lưu thông trong mạng.
Vlan Access-list có thể áp dụng trong phạm vi Vlan, hoặc giữa các Vlan (intervlan)
Vlan Access-list có các dặc tính như Router Access-list(RACLs), có thể loại bỏ, cho qua, hay tái
định hướng (redirection) các gói tin
Trong phạm vi bài Lab gồm hai phần:
-Phần 1: Minh hoạ đặc tính của VACLs trong phạm vi một Vlan
-Phần 2: Minh hoạ đặc tính của VACLs vượt khỏi phạm vi Vlan

Phần 1: Minh hoạ đặc tính của VACLs trong phạm vi một Vlan
Đồ hình






Mô tả:Trong Vlan 10 dùng một Cisco Router dùng làm Access server, được cấu hình với địa chỉ
192.168.10.254/24, cho phép telnet.
Management IP của Vlan 10 là 192.168.10.1/24, các Work Station có địa chỉ từ
192.168.10.2…… 192.168.1.253/24.
Cấu hình Vlan Access-list cấm không cho các Work Station có địa chỉ IP trong khoảng
192.168.10.2/24 đến 192.168.10.15/24 không thể telnet vào Access Server, ngoại trừ
192.168.10.3/24 (192.168.10.3/24 vẫn có thể telnet vào).







Thông tin về trạm 192.168.10.3
Dùng một Work Station trong khoảng cấm để thử nghiệm:giả sử dùng trạm 192.168.10.4






Các bước cấu hình:
Bước 1:Để mô tả bài Lab, trước hết phải cấu hình cơ bản gồm Vlan, và các máy trạm như đồ
hình

Cấu hình Vlan

Vnpro#vlan database
Vnpro(vlan)#vtp domain Vnpro
Changing VTP domain name from NULL to Vnpro
Vnpro(vlan)#vlan 10 name Admin
VLAN 10 added:
Name: Admin
Vnpro(vlan)#vlan 20 name User
VLAN 20 added:
Name: User
Vnpro(vlan)#apply
APPLY completed.
Vnpro(vlan)#exit

APPLY completed.
Exiting

Cấu hình Management IP cho các Vlan

Vnpro#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Vnpro(config)#interface vlan 1
Vnpro(config-if)#ip address 192.168.1.1 255.255.255.0
Vnpro(config-if)#no shutdown
Vnpro(config-if)#exit
00:06:14: %LINK-3-UPDOWN: Interface Vlan1, changed state to up
Vnpro(config)#interface vlan 10
Vnpro(config-if)#ip address 192.168.10.1 255.255.255.0
Vnpro(config-if)#no shutdown
Vnpro(config-if)#exit
Vnpro(config)#
00:07:05: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to down
Vnpro(config)#interface vlan 20
Vnpro(config-if)#ip address 192.168.20.1 255.255.255.0
Vnpro(config-if)#no shut
Vnpro(config-if)#exit
00:06:40: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to down

Sau khi cấu hình Vlan, người dùng có thể đưa các port vào các Vlan tương ứng

Bước 2:
Cấu hình Vlan Accest-list
-Cấu hình access-list


Vnpro(config)#ip access-list extended VnproAllow1
Vnpro(config-ext-nacl)#permit tcp host 192.168.10.3 host 192.168.10.254 eq tenet
Vnpro(config-ext-nacl)#exit
Vnpro(config)#ip access-list extended VnproBlock1
Vnpro(config-ext-nacl)#permit tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet
Vnpro(config-ext-nacl)#exit
Vnpro(config)#ip access-list extended VnproDefault1
Vnpro(config-ext-nacl)#permit tcp any any
Vnpro(config-ext-nacl)#exit
Vnpro(config)#


kiểm tra thông tin về Access-list
Vnpro#show ip access-lists
Extended IP access list VnproAllow1
permit tcp host 192.168.10.3 host 192.168.10.254 eq telnet
Extended IP access list VnproBlock1
permit tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet
Extended IP access list VnproDefault1
permit tcp any any
Vnpro#


Khái niệm Access-list không còn bó hẹp trong ý nghĩa thông thường (dùng để chặn traffic, hay chặn các
IP), Access-list được dùng để lọc , phân loại traffic, địa chỉ IP, sau đó đối với từng loại traffic hay IP đã
phân loại, người dùng có thể có chính sách đối xử khác nhau.
Lấy VD trong bài Lab này, dùng các Access-list phân các Work Station thành các nhóm sau
- VnproAllow1 tương ứng với host 192.168.10.3, loại traffic “tcp cụ thể là telnet”
-VnproBlock1 tương ứng với host từ 192.168.10.1/28 đến 192.168.10.15/28 , loại traffic “tcp cụ thể là
telnet”

-VnproDefault tương ứng với các host còn lại trong Vlan 10, loại traffic “tcp cụ thể là telnet”
Sau tuỳ vào từng nhóm, người dùng có các chính sách khác nhau:cụ thể như sau:
-Đối với nhóm VnproAllow1: cho phép
-Đối với nhóm VnproBlock1: bị cấm (tức traffic tương ứng khi truy cập đến IP tương ứng trong nhóm này
sẽ bị DROP)
-Đối với nhóm VnproDefault1: cho phép.
Nguyên tắc: sau khi có chính sách cấm các loại traffic truy cập đến các IP tương ứng nào đó, cần thiết
phải kết thúc với Access-list có nội dung “permit any any”, nếu không, do tính chất “implicit deny” của
Access-list, các host khác sẽ bị cấm đối với mọi loại traffic còn lại.
Trong trường hợp bài Lab, nhóm VnproDefault1 được dùng với chức năng nêu trên.

Cấu hình Vlan Access-map (dùng để áp đặt chính sách đối với từng nhóm đã phân loại)
Vnpro(config)#vlan access-map VnproMap1 10
Vnpro(config-access-map)#match ip address VnproAllow1
Vnpro(config-access-map)#action forward
Vnpro(config-access-map)#exit
Vnpro(config)#vlan access-map VnproMap1 20
Vnpro(config-access-map)#match ip address VnproBlock1
Vnpro(config-access-map)#action drop
Vnpro(config-access-map)#exit
Vnpro(config)#vlan access-map VnproMap1 30
Vnpro(config-access-map)#match ip address VnproDefault1
Vnpro(config-access-map)#action forward
Vnpro(config-access-map)#end
00:18:33: %SYS-5-CONFIG_I: Configured from console by console


Kiểm tra thông tin về Vlan Access-map vừa cấu hình

Vnpro#show vlan access-map

Vlan access-map "VnproMap1" 10
Match clauses:
ip address: VnproAllow1
Action:
forward
Vlan access-map "VnproMap1" 20
Match clauses:
ip address: VnproBlock1
Action:
Drop
Vlan access-map "VnproMap1" 30
Match clauses:
ip address: VnproDefault1
Action:
forward
Vnpro#

Muốn kích hoạt các chính sách đó, phải áp dụng (apply) các Access-map này vào Vlan cụ thể (trong trường
hợp này là Vlan 10

Trước khi Apply vào Vlan 10, host 192.168.10.3/28 và 192.168.10.4/28 đều có thể telnet vào
192.168.10.254


Kết quả telnet thành công từ Work Station 192.168.10.3/24 và 192.168.10.4/24 vào Access Server
192.168.10.254






Apply vào một Vlan (kích hoạt các Access-map trên Vlan 10)
Vnpro(config)#vlan fiter VnproMap1 vlan-list 10


Kiểm tra
Vnpro#show vlan filter
VLAN Map VnproMap1 is filtering VLANs:
10
Vnpro#

Kiểm tra sự hoạt động của Vlan Access-list sau khi kích hoạt bằng cách tiến hành telnet từ các Work
Station 192.168.10.3/28 và 192.168.10.4/28 và ghi nhận kết quả.






Work Station 192.168.10.3/28 vẫn telnet thành công vào Access Server 192.168.10.254 vì Work Station
này có địa chỉ IP được phân loại bởi nhóm VnproAllow1, và chính sách áp dụng cho nhóm này là
“action: forward”
Work Station 192.168.4/28 bị từ chối khi telnet vào Access Server 192.168.254 vì Work Station này có địa
chỉ IP được phân loại bợi nhóm VnproBlock1, và chính sách áp dụng cho nhóm này là “action: drop”

Đối với các Work Station còn lại nằm trong nhóm VnproDefault1 vẫn có thể telnet vào Access Server
192.168.10.254 vì chính sách đối với nhóm này là “action: forward”
Tuy nhiên khi chú ý cấu hình “VnproDefault1 ” như sau:

Vnpro(config)#ip access-list extended VnproDefault1

Vnpro(config-ext-nacl)#permit tcp any any
Vnpro(config-ext-nacl)#exit
Vnpro(config)#

Với cấu hình như vậy, các Work Station trong nhóm VnproDefaul1 chỉ có thể telnet chứ không thể ping
thấy Access Server do “quên” dòng lệnh “permit ip any any”





Muốn ping thấy Access Server cần cấu hình như sau:
Vnpro(config)#ip access-list extended VnproDefault1
Vnpro(config-ext-nacl)#permit tcp any any
Vnpro(config-ext-nacl)#permit ip any any
Vnpro(config-ext-nacl)#exit
Vnpro(config)#
Đó là do đặc tính “implicit deny” của Access-list . Phần 2 sẽ minh hoạ việc khắc phục lỗi trên.
Một lưu ý khác:khi được kích hoạt, các Access-list sẽ kiểm tra theo thứ tự từ trên xuống, gặp dúng điều
kiện, Switch sẽ áp đặt chính sách đã được cấu hình vào rồi kết thúc quá trình kiểm tra.

Trong bài Lab này, nếu đổi thứ tự các Access-map, kết quả sẽ hoàn toàn khác.
VD :nếu đặt vào”VnproMap1 10” cấu hình như sau:

Vnpro(config)#vlan access-map VnproMap1 10
Vnpro(config-access-map)#match ip address VnproDefault1
Vnpro(config-access-map)#action forward
Vnpro(config-access-map)#exit

Access-map sẽ được kiểm tra từ trên xuống, ngay lần kiểm tra đầu tiên gặp “permit ip any any” vì tất cả các

IP đều thoả điều kiện “any any”Switch lập tức áp đặt chính sách “action: forward” và nhóm này
rối kết thúc quá trình kiểm tra.
Kết quả : tất cả các Work Station đều có thể telnet vào Access Server 192.168.10.254 (kể cả các Work
Station có địa chỉ IP trong khoảng 192.168.10.1/28 đến 192.168.10.15/28)

Vì vậy khi cấu hình, thứ tự các Access-list và Access-map là một điều hết sức quan trọng.
Phần 2: Minh hoạ đặc tính của VACLs vượt khỏi phạm vi Vlan
Đồ hình






Cấu hình InterVlan Routing: Tham khảo cấu hình InterVlan Routing trong bài InterVlan Routing &
MultiLayer Switching
Trong trường hợp này InterVlan Routing dùnh giao thức định tuyến Rip để dợn giản hoá cấu hình (vì mục
tiêu chính là: minh hoạ VACLs)

Mô tả: Trong phần này , cấu hình Vlan Access-list áp dụng vào Vlan 20
Dùng Cisco Router kết nối với MultiLayer Switch qua công FastEthernet có sơ đồ địa chỉ như
hình vẽ, Router có hostname là “Remote” dùng làm Access Server.
Management IP của Vlan 20 là 192.168.20.1/24, các Work Station có địa chỉ từ
192.168.20.2…… 192.168.20.253/24.
Cấu hình Vlan Access-list cấm không cho các Work Station có địa chỉ IP trong khoảng
192.168.20.2/24 đến 192.168.20.15/24 không thể telnet vào Access Server, ngoại trừ
192.168.20.3/24 (192.168.20.3/24 vẫn có thể telnet vào Remote router 10.200.0.2/24).
Các bước tiến hành tương tự như trên:

Cấu hình MLS trên Switch Vnpro



Vnpro(config)#interface fa0/1
Vnpro(config-if)#no switchport
Vnpro(config-if)#
Vnpro(config-if)#ip address 10.200.0.1 255.255.255.0
Vnpro(config-if)#no shutdown
Vnpro(config-if)#exit
01:28:35: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
01:28:36: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
Vnpro(config)#ip routing
Vnpro(config)#router rip
Vnpro(config-router)#network 192.168.1.0
Vnpro(config-router)#network 192.168.10.0
Vnpro(config-router)#network 192.168.20.0
Vnpro(config-router)#network 10.200.0.0
Vnpro(config-router)#^Z
01:29:53: %SYS-5-CONFIG_I: Configured from console by console
Cấu hình địa chỉ IP và định tuyến trên Remote router

Remote#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Remote(config)#interface Ethernet0/0
Remote(config-if)#ip address 10.200.0.2 255.255.255.0
Remote(config-if)#no shutdown
Remote(config-if)#exit
Remote(config)#interface loopback 0
Remote(config-if)#ip address 172.168.0.1 255.255.255.0
Remote(config-if)#no shutdown
Remote(config-if)#exit

Remote(config)#router rip
Remote(config-router)#network 10.200.0.0
Remote(config-router)#network 172.168.0.0
Remote(config-router)#^Z

Kiểm tra thông tin định tuyến trên Remote router vào Vnpro Switch
Vnpro#show ip route

Gateway of last resort is not set

C 192.168.10.0/24 is directly connected, Vlan10
R 172.168.0.0/16 [120/1] via 10.200.0.2, 00:00:24, FastEthernet0/1
C 192.168.20.0/24 is directly connected, Vlan20
10.0.0.0/24 is subnetted, 1 subnets
C 10.200.0.0 is directly connected, FastEthernet0/1


Cấu hình các Vlan Access-list mới


Vnpro#telnet 10.200.0.2
Trying 10.200.0.2 Open

User Access Verification

Password: cisco
Remote>enable
Password: vnpro
Remote#show ip route


Gateway of last resort is not set

R 192.168.10.0/24 [120/1] via 10.200.0.1, 00:00:09, Ethernet0/0
172.168.0.0/24 is subnetted, 1 subnets
C 172.168.0.0 is directly connected, Loopback0
R 192.168.20.0/24 [120/1] via 10.200.0.1, 00:00:09, Ethernet0/0
10.0.0.0/24 is subnetted, 1 subnets
C 10.200.0.0 is directly connected, Ethernet0/0
Remote#

Vnpro(config)#ip access-list extended VnproAllow2
Vnpro(config-ext-nacl)#permit tcp host 192.168.20.3 host 10.200.0.2 eq telnet
Vnpro(config-ext-nacl)#exit
Vnpro(config)#ip access-list extended VnproBlock2
Vnpro(config-ext-nacl)#permit tcp 192.168.20.0 0.0.0.15 host 10.200.0.2 eq telnet
Vnpro(config-ext-nacl)#exit
Vnpro(config)#ip access-list extended VnproDefault2
Vnpro(config-ext-nacl)#permit tcp any any
Vnpro(config-ext-nacl)#permit ip any any
Vnpro(config-ext-nacl)#end
Vnpro#
01:56:55: %SYS-5-CONFIG_I: Configured from console by console

Kiểm tra thông tin về Access-list
Vnpro#show ip access-lists
Extended IP access list VnproAllow1
permit tcp host 192.168.10.3 host 192.168.10.254 eq telnet
Extended IP access list VnproAllow2
permit tcp host 192.168.20.3 host 10.200.0.2 eq telnet
Extended IP access list VnproBlock1

permit tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet
Extended IP access list VnproBlock2
permit tcp 192.168.20.0 0.0.0.15 host 10.200.0.2 eq telnet
Extended IP access list VnproDefault1
permit tcp any any
Extended IP access list VnproDefault2
permit tcp any any
permit ip any any
Vnpro#

















Cấu hình Vlan Access-map


Vnpro#config terminal

Enter configuration commands, one per line. End with CNTL/Z.
Vnpro(config)#vlan access-map VnproMap2 10
Vnpro(config-access-map)#match ip address VnproAllow2
Vnpro(config-access-map)#action forward
Vnpro(config-access-map)#exit
Vnpro(config)#vlan access-map VnproMap2 20
Vnpro(config-access-map)#match ip address VnproBlock2
Vnpro(config-access-map)#action drop
Vnpro(config-access-map)#exit
Vnpro(config)#vlan access-map VnproMap2 30
Vnpro(config-access-map)#match ip address VnproDefault2
Vnpro(config-access-map)#action forward
Vnpro(config-access-map)#end
Vnpro(config)#


Kiểm tra thông tin Vlan Access-list


Vnpro#show vlan access-map
Vlan access-map "VnproMap1" 10
Match clauses:
ip address: VnproAllow1
Action:
forward
Vlan access-map "VnproMap1" 20
Match clauses:
ip address: VnproBlock1
Action:
drop

Vlan access-map "VnproMap1" 30
Match clauses:
ip address: VnproDefault1
Action:
forward
Vlan access-map "VnproMap2" 10
Match clauses:
ip address: VnproAllow2
Action:
forward
Vlan access-map "VnproMap2" 20
Match clauses:
ip address: VnproBlock2
Action:
drop
Vlan access-map "VnproMap2" 30
Match clauses:
ip address: VnproDefault2
Action:
forward
Vnpro#

Khi chưa áp dụng (apply) Vlan Access-map “VnproMap2” vào Vlan 20, tất cả các Work Station
trên Vlan 20 đều có thể telnet và Ping thành công Remote router

Work Station telnet thành công vào Remote router khi chưa áp dụng Vlan Access-map “VnproMap2”
vào Vlan 20













Work Station ping thành công vào Remote router khi chưa áp dụng Vlan Access-map
“VnproMap2” vào Vlan 20


Áp dụng (apply) Vlan Access-map “VnproMap2” vào Vlan 20
Vnpro(config)#vlan filter VnproMap2 vlan-list 20

Kiểm tra cấu hình Vlan Access-map khi đã áp dụng vào các Vlan trên Switch
Vnpro#show vlan filter
VLAN Map VnproMap1 is filtering VLANs:
10
VLAN Map VnproMap2 is filtering VLANs:
20

Kiểm tra sự hoạt động của Vlan Access-list sau khi áp dụng Vlan Access-map “VnproMap2” vào
Vlan 20 bằng cách ping và telnet Remote router từ các Work Station và ghi nhận kết quả.








Từ kết quả trên có thể thấy:Work Station có IP 192.168.20.4/28 chỉ có thể ping chứ không thể
telnet vào Remote router 10.200.0.2/24, qua đó thấy được tính năng của VACLs trong môi
trường intervlan.


Lưu ý: không như ở phần1, sau khi áp dụng Vlan Access-map VnproMap2 vào Vlan 20
Work Station 192.168.20.4/28 chỉ bị cấm khi gửi traffic “tcp cụ thể là telnet” đến Remote router
qua IP10.200.0.2/24, còn các loại traffic khác( trong trường hợp này là ip vẫn trong suốt
(transparent) với Vlan Access-list)
Tính chất “implicit deny” của Access-list đã được khắc phục so với cấu hình trình bày ở phần1.

Tham khảo sự khác biệt đó qua đặc điểm sau:
Phần 1:
Vnpro(config)#ip access-list extended VnproDefault1
Vnpro(config-ext-nacl)#permit tcp any any
Vnpro(config-ext-nacl)#exit
Vnpro(config)#


Phần 2:
Vnpro(config)#ip access-list extended VnproDefault2
Vnpro(config-ext-nacl)#permit tcp any any
Vnpro(config-ext-nacl)#permit ip any any
Vnpro(config-ext-nacl)#exit
Vnpro(config)#


Trong tất cả mọi trường hợp, khi sử dụng Access-list nói chung, Cần chú ý trình tự của các

Access-list sử dụng, và đặc tính “implicit deny” của chúng .


Phụ lục
Cấu hình tham khảo của Switch

Vnpro
!
hostname Vnpro
!
enable secret 5 $1$FW/z$z49gfElHWknNIvPIOfZEG0
enable password cisco
!
ip subnet-zero
ip routing
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
!
vlan access-map Vnpr1 10
action forward
vlan access-map VnproMap1 10
action forward
match ip address VnproAllow1
vlan access-map VnproMap1 20
action drop
match ip address VnproBlock1
vlan access-map VnproMap1 30

action forward
match ip address VnproDefault1
vlan access-map VnproMap2 10
action forward
match ip address VnproAllow2
vlan access-map VnproMap2 20
action drop
match ip address VnproBlock2
vlan access-map VnproMap2 30
action forward
match ip address VnproDefault2
vlan filter VnproMap1 vlan-list 10
vlan filter VnproMap2 vlan-list 20
!
!
interface FastEthernet0/1
no switchport
ip address 10.200.0.1 255.255.255.0
!
interface FastEthernet0/2
no ip address
!
interface FastEthernet0/3
no ip address
!
interface FastEthernet0/4
no ip address
!
interface FastEthernet0/5
switchport access vlan 10

no ip address
!
interface FastEthernet0/6
switchport access vlan 10
no ip address
!
interface FastEthernet0/7
switchport access vlan 10
no ip address
!
interface FastEthernet0/8
switchport access vlan 10
no ip address
!
interface FastEthernet0/9
switchport access vlan 20
no ip address
!
interface FastEthernet0/10
switchport access vlan 20
no ip address
!
interface FastEthernet0/11
switchport access vlan 20
no ip address
!
interface FastEthernet0/12
switchport access vlan 20
no ip address
!

interface GigabitEthernet0/1
no ip address
!
interface GigabitEthernet0/2
no ip address
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
!
interface Vlan10
ip address 192.168.10.1 255.255.255.0
!
interface Vlan20
ip address 192.168.20.1 255.255.255.0
!
router rip
network 10.0.0.0
network 192.168.1.0
network 192.168.10.0
network 192.168.20.0
!
ip classless
ip http server
!
ip access-list extended VnproAllow1
permit tcp host 192.168.10.3 host 192.168.10.254 eq telnet
ip access-list extended VnproAllow2
permit tcp host 192.168.20.3 host 10.200.0.2 eq telnet
ip access-list extended VnproBlock1
permit tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet

ip access-list extended VnproBlock2
permit tcp 192.168.20.0 0.0.0.15 host 10.200.0.2 eq telnet
ip access-list extended VnproDefault1
permit tcp any any
ip access-list extended VnproDefault2
permit tcp any any
permit ip any any
!
line con 0
line vty 0 4
password cisco
login
line vty 5 15
login
!
end

Vnpro#show vlan

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×