bài viết vlan accesslist.doc

Bài Viết VLan AccessListTác giả Trương Quang Dũng

Vlan Access-list (VACLs)là một trong những phương pháp nâng cao tính bảo mật trong mạng. Cho phép kiểm soát lưu lượng chạy trên Switch. Khi cấu hình Vlan Access-list, người dùng có thể phân loại lưu lượng:ip, tcp, www…Tuỳ vào chính sách của nhà quả trị mạng có thể lọc bỏ hoạc cho các loại thông tin đó lưu thông trong mạng.

Vlan Access-list có thể áp dụng trong phạm vi Vlan, hoặc giữa các Vlan (intervlan)

Vlan Access-list có các dặc tính như Router Access-list(RACLs), có thể loại bỏ, cho qua, hay tái định hướng (redirection) các gói tin

Trong phạm vi bài Lab gồm hai phần:

-Phần 1: Minh hoạ đặc tính của VACLs trong phạm vi một Vlan

-Phần 2: Minh hoạ đặc tính của VACLs vượt khỏi phạm vi Vlan

Phần 1: Minh hoạ đặc tính của VACLs trong phạm vi một Vlan

Mô tả:Trong Vlan 10 dùng một Cisco Router dùng làm Access server, được cấu hình với địa chỉ 192.168.10.254/24, cho phép telnet.

Management IP của Vlan 10 là 192.168.10.1/24, các Work Station có địa chỉ từ 192.168.10.2……..192.168.1.253/24.

Cấu hình Vlan Access-list cấm không cho các Work Station có địa chỉ IP trong khoảng 192.168.10.2/24 đến 192.168.10.15/24 không thể telnet vào Access Server, ngoại trừ 192.168.10.3/24 (192.168.10.3/24 vẫn có thể telnet vào).

Thông tin về trạm 192.168.10.3

Các bước cấu hình:

Bước 1:Để mô tả bài Lab, trước hết phải cấu hình cơ bản gồm Vlan, và các máy trạm như đồ hình

Cấu hình Vlan

Vnpro#vlan database

Vnpro(vlan)#vtp domain Vnpro

Changing VTP domain name from NULL to Vnpro

Vnpro(vlan)#vlan 10 name Admin

VLAN 10 added:

Name: Admin

Vnpro(vlan)#vlan 20 name User

VLAN 20 added:

Name: User

Vnpro(vlan)#apply

APPLY completed.

Vnpro(vlan)#exit

APPLY completed.

Exiting....

Cấu hình Management IP cho các Vlan

Vnpro#config terminal

Enter configuration commands, one per line. End with CNTL/Z.

Vnpro(config)#interface vlan 1

Vnpro(config-if)#ip address 192.168.1.1 255.255.255.0

Vnpro(config-if)#no shutdown

Vnpro(config-if)#exit

00:06:14: %LINK-3-UPDOWN: Interface Vlan1, changed state to up





Vnpro(config)#

00:07:05: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to down



Vnpro(config-if)#no shut


00:06:40: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to down

Sau khi cấu hình Vlan, người dùng có thể đưa các port vào các Vlan tương ứng

Bước 2:

Cấu hình Vlan Accest-list

-Cấu hình access-list

Vnpro(config)#ip access-list extended VnproAllow1

Vnpro(config-ext-nacl)#permit tcp host 192.168.10.3 host 192.168.10.254 eq tenet

Vnpro(config-ext-nacl)#exit

Vnpro(config)#ip access-list extended VnproBlock1

Vnpro(config-ext-nacl)#permit tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet


Vnpro(config)#ip access-list extended VnproDefault1

Vnpro(config-ext-nacl)#permit tcp any any


Vnpro(config)#

kiểm tra thông tin về Access-list

Vnpro#show ip access-lists

Extended IP access list VnproAllow1

permit tcp host 192.168.10.3 host 192.168.10.254 eq telnet

Extended IP access list VnproBlock1

permit tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet

Extended IP access list VnproDefault1

permit tcp any any

Vnpro#

Khái niệm Access-list không còn bó hẹp trong ý nghĩa thông thường (dùng để chặn traffic, hay chặn các IP), Access-list được dùng để lọc , phân loại traffic, địa chỉ IP, sau đó đối với từng loại traffic hay IP đã phân loại, người dùng có thể có chính sách đối xử khác nhau.

Lấy VD trong bài Lab này, dùng các Access-list phân các Work Station thành các nhóm sau

- VnproAllow1 tương ứng với host 192.168.10.3, loại traffic “tcp cụ thể là telnet”

-VnproBlock1 tương ứng với host từ 192.168.10.1/28 đến 192.168.10.15/28 , loại traffic “tcp cụ thể là telnet”

-VnproDefault tương ứng với các host còn lại trong Vlan 10, loại traffic “tcp cụ thể là telnet”

Sau tuỳ vào từng nhóm, người dùng có các chính sách khác nhau:cụ thể như sau:

-Đối với nhóm VnproAllow1: cho phép

-Đối với nhóm VnproBlock1: bị cấm (tức traffic tương ứng khi truy cập đến IP tương ứng trong nhóm này sẽ bị DROP)

-Đối với nhóm VnproDefault1: cho phép.

Nguyên tắc: sau khi có chính sách cấm các loại traffic truy cập đến các IP tương ứng nào đó, cần thiết phải kết thúc với Access-list có nội dung “permit any any”, nếu không, do tính chất “implicit deny” của Access-list, các host khác sẽ bị cấm đối với mọi loại traffic còn lại.

Trong trường hợp bài Lab, nhóm VnproDefault1 được dùng với chức năng nêu trên.

Cấu hình Vlan Access-map (dùng để áp đặt chính sách đối với từng nhóm đã phân loại)

Vnpro(config)#vlan access-map VnproMap1 10

Vnpro(config-access-map)#match ip address VnproAllow1

Vnpro(config-access-map)#action forward

Vnpro(config-access-map)#exit


Vnpro(config-access-map)#match ip address VnproBlock1

Vnpro(config-access-map)#action drop



Vnpro(config-access-map)#match ip address VnproDefault1


Vnpro(config-access-map)#end

00:18:33: %SYS-5-CONFIG_I: Configured from console by console

Kiểm tra thông tin về Vlan Access-map vừa cấu hình

Vnpro#show vlan access-map

Vlan access-map "VnproMap1" 10

Match clauses:

ip address: VnproAllow1

Action:

forward


Match clauses:

ip address: VnproBlock1

Action:

Drop


Match clauses:

ip address: VnproDefault1

Action:

forward

Vnpro#

Muốn kích hoạt các chính sách đó, phải áp dụng (apply) các Access-map này vào Vlan cụ thể (trong trường hợp này là Vlan 10

Kết quả telnet thành công từ Work Station 192.168.10.3/24 và 192.168.10.4/24 vào Access Server 192.168.10.254

Apply vào một Vlan (kích hoạt các Access-map trên Vlan 10)

Vnpro(config)#vlan fiter VnproMap1 vlan-list 10

Kiểm tra

Vnpro#show vlan filter

VLAN Map VnproMap1 is filtering VLANs:

10

Vnpro#

Kiểm tra sự hoạt động của Vlan Access-list sau khi kích hoạt bằng cách tiến hành telnet từ các Work Station 192.168.10.3/28 và 192.168.10.4/28 và ghi nhận kết quả.

Work Station 192.168.10.3/28 vẫn telnet thành công vào Access Server 192.168.10.254 vì Work Station này có địa chỉ IP được phân loại bởi nhóm VnproAllow1, và chính sách áp dụng cho nhóm này là “action:

forward”

Work Station 192.168.4/28 bị từ chối khi telnet vào Access Server 192.168.254 vì Work Station này có địa chỉ IP được phân loại bợi nhóm VnproBlock1, và chính sách áp dụng cho nhóm này là “action: drop”

Đối với các Work Station còn lại nằm trong nhóm VnproDefault1 vẫn có thể telnet vào Access Server 192.168.10.254 vì chính sách đối với nhóm này là “action: forward”

Tuy nhiên khi chú ý cấu hình “VnproDefault1 ” như sau:




Vnpro(config)#

Với cấu hình như vậy, các Work Station trong nhóm VnproDefaul1 chỉ có thể telnet chứ không thể ping thấy Access Server do “quên” dòng lệnh “permit ip any any”

Muốn ping thấy Access Server cần cấu hình như sau:



Vnpro(config-ext-nacl)#permit ip any any


Vnpro(config)#

Đó là do đặc tính “implicit deny” của Access-list . Phần 2 sẽ minh hoạ việc khắc phục lỗi trên.

Một lưu ý khác:khi được kích hoạt, các Access-list sẽ kiểm tra theo thứ tự từ trên xuống, gặp dúng điều kiện, Switch sẽ áp đặt chính sách đã được cấu hình vào rồi kết thúc quá trình kiểm tra.

Trong bài Lab này, nếu đổi thứ tự các Access-map, kết quả sẽ hoàn toàn khác.

VD :nếu đặt vào”VnproMap1 10” cấu hình như sau:





Access-map sẽ được kiểm tra từ trên xuống, ngay lần kiểm tra đầu tiên gặp “permit ip any any” vì tất cả các IP đều thoả điều kiện “any any”Switch lập tức áp đặt chính sách “action: forward” và nhóm này rối kết thúc quá trình kiểm tra.

Kết quả : tất cả các Work Station đều có thể telnet vào Access Server 192.168.10.254 (kể cả các Work Station có địa chỉ IP trong khoảng 192.168.10.1/28 đến 192.168.10.15/28)

Vì vậy khi cấu hình, thứ tự các Access-list và Access-map là một điều hết sức quan trọng.

Phần 2: Minh hoạ đặc tính của VACLs vượt khỏi phạm vi Vlan

Đồ hình

Cấu hình InterVlan Routing: Tham khảo cấu hình InterVlan Routing trong bài InterVlan Routing & MultiLayer Switching

Trong trường hợp này InterVlan Routing dùnh giao thức định tuyến Rip để dợn giản hoá cấu hình (vì mục tiêu chính là: minh hoạ VACLs)

Mô tả: Trong phần này , cấu hình Vlan Access-list áp dụng vào Vlan 20

Dùng Cisco Router kết nối với MultiLayer Switch qua công FastEthernet có sơ đồ địa chỉ như hình vẽ, Router có hostname là “Remote” dùng làm Access Server.

Management IP của Vlan 20 là 192.168.20.1/24, các Work Station có địa chỉ từ 192.168.20.2……..192.168.20.253/24.

Cấu hình Vlan Access-list cấm không cho các Work Station có địa chỉ IP trong khoảng 192.168.20.2/24 đến 192.168.20.15/24 không thể telnet vào Access Server, ngoại trừ 192.168.20.3/24 (192.168.20.3/24 vẫn có thể telnet vào Remote router 10.200.0.2/24).

Các bước tiến hành tương tự như trên:

Cấu hình MLS trên Switch Vnpro

Vnpro(config)#interface fa0/1

Vnpro(config-if)#no switchport

Vnpro(config-if)#




01:28:35: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up

01:28:36: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up

Vnpro(config)#ip routing

Vnpro(config)#router rip

Vnpro(config-router)#network 192.168.1.0




Vnpro(config-router)#^Z


Cấu hình địa chỉ IP và định tuyến trên Remote router

Remote#config terminal


Remote(config)#interface Ethernet0/0

Remote(config-if)#ip address 10.200.0.2 255.255.255.0

Remote(config-if)#no shutdown

Remote(config-if)#exit

Remote(config)#interface loopback 0

Remote(config-if)#ip address 172.168.0.1 255.255.255.0

Remote(config-if)#no shutdown

Remote(config-if)#exit

Remote(config)#router rip

Remote(config-router)#network 10.200.0.0

Remote(config-router)#network 172.168.0.0

Remote(config-router)#^Z

Kiểm tra thông tin định tuyến trên Remote router vào Vnpro Switch

Vnpro#show ip route

Gateway of last resort is not set

C 192.168.10.0/24 is directly connected, Vlan10

R 172.168.0.0/16 [120/1] via 10.200.0.2, 00:00:24, FastEthernet0/1


10.0.0.0/24 is subnetted, 1 subnets

C 10.200.0.0 is directly connected, FastEthernet0/1

Cấu hình các Vlan Access-list mới

Vnpro#telnet 10.200.0.2

Trying 10.200.0.2 ... Open

User Access Verification

Password: cisco

Remote>enable

Password: vnpro

Remote#show ip route


R 192.168.10.0/24 [120/1] via 10.200.0.1, 00:00:09, Ethernet0/0


C 172.168.0.0 is directly connected, Loopback0

R 192.168.20.0/24 [120/1] via 10.200.0.1, 00:00:09, Ethernet0/0


C 10.200.0.0 is directly connected, Ethernet0/0

Remote#

Vnpro(config)#ip access-list extended VnproAllow2

Vnpro(config-ext-nacl)#permit tcp host 192.168.20.3 host 10.200.0.2 eq telnet


Vnpro(config)#ip access-list extended VnproBlock2

Vnpro(config-ext-nacl)#permit tcp 192.168.20.0 0.0.0.15 host 10.200.0.2 eq telnet





Vnpro(config-ext-nacl)#end

Vnpro#


Kiểm tra thông tin về Access-list

Vnpro#show ip access-lists










permit tcp any any


permit tcp any any

permit ip any any

Vnpro#

Cấu hình Vlan Access-map

Vnpro#config terminal



Vnpro(config-access-map)#match ip address VnproAllow2




Vnpro(config-access-map)#match ip address VnproBlock2

Vnpro(config-access-map)#action drop





Vnpro(config-access-map)#end

Vnpro(config)#

Kiểm tra thông tin Vlan Access-list



Match clauses:


Action:

forward


Match clauses:


Action:

drop


Match clauses:


Action:

forward


Match clauses:


Action:

forward


Match clauses:


Action:

drop


Match clauses:


Action:

forward

Vnpro#

Khi chưa áp dụng (apply) Vlan Access-map “VnproMap2” vào Vlan 20, tất cả các Work Station trên Vlan 20 đều có thể telnet và Ping thành công Remote router

Work Station telnet thành công vào Remote router khi chưa áp dụng Vlan Access-map “VnproMap2” vào Vlan 20

Work Station ping thành công vào Remote router khi chưa áp dụng Vlan Access-map “VnproMap2” vào Vlan 20

Áp dụng (apply) Vlan Access-map “VnproMap2” vào Vlan 20

Vnpro(config)#vlan filter VnproMap2 vlan-list 20

Kiểm tra cấu hình Vlan Access-map khi đã áp dụng vào các Vlan trên Switch



10


20

Kiểm tra sự hoạt động của Vlan Access-list sau khi áp dụng Vlan Access-map “VnproMap2” vào Vlan 20 bằng cách ping và telnet Remote router từ các Work Station và ghi nhận kết quả.

Từ kết quả trên có thể thấy:Work Station có IP 192.168.20.4/28 chỉ có thể ping chứ không thể telnet vào Remote router 10.200.0.2/24, qua đó thấy được tính năng của VACLs trong môi trường intervlan.

Lưu ý: không như ở phần1, sau khi áp dụng Vlan Access-map VnproMap2 vào Vlan 20

Work Station 192.168.20.4/28 chỉ bị cấm khi gửi traffic “tcp cụ thể là telnet” đến Remote router qua IP10.200.0.2/24, còn các loại traffic khác( trong trường hợp này là ip vẫn trong suốt (transparent) với Vlan Access-list)

Tính chất “implicit deny” của Access-list đã được khắc phục so với cấu hình trình bày ở phần1.

Tham khảo sự khác biệt đó qua đặc điểm sau:

Phần 1:




Vnpro(config)#

Phần 2:





Vnpro(config)#

Trong tất cả mọi trường hợp, khi sử dụng Access-list nói chung, Cần chú ý trình tự của các Access-list sử dụng, và đặc tính “implicit deny” của chúng .

Phụ lục

Cấu hình tham khảo của Switch

Vnpro

!

hostname Vnpro

!

enable secret 5 $1$FW/z$z49gfElHWknNIvPIOfZEG0

enable password cisco

!

ip subnet-zero

ip routing

!

!

spanning-tree mode pvst

spanning-tree extend system-id

!

!

vlan access-map Vnpr1 10

action forward

vlan access-map VnproMap1 10

action forward

match ip address VnproAllow1


action drop

match ip address VnproBlock1


action forward

match ip address VnproDefault1


action forward

match ip address VnproAllow2


action drop

match ip address VnproBlock2


action forward

match ip address VnproDefault2

vlan filter VnproMap1 vlan-list 10

vlan filter VnproMap2 vlan-list 20

!

!

interface FastEthernet0/1

no switchport

ip address 10.200.0.1 255.255.255.0

!


no ip address

!


no ip address

!


no ip address

!


switchport access vlan 10

no ip address

!



no ip address

!



no ip address

!



no ip address

!



no ip address

!



no ip address

!



no ip address

!



no ip address

!

interface GigabitEthernet0/1

no ip address

!

interface GigabitEthernet0/2

no ip address

!

interface Vlan1

ip address 192.168.1.1 255.255.255.0

!

interface Vlan10

ip address 192.168.10.1 255.255.255.0

!

interface Vlan20

ip address 192.168.20.1 255.255.255.0

!

router rip

network 10.0.0.0

network 192.168.1.0

network 192.168.10.0

network 192.168.20.0

!

ip classless

ip http server

!

ip access-list extended VnproAllow1


ip access-list extended VnproAllow2


ip access-list extended VnproBlock1


ip access-list extended VnproBlock2


ip access-list extended VnproDefault1

permit tcp any any

ip access-list extended VnproDefault2

permit tcp any any

permit ip any any

!

line con 0

line vty 0 4

password cisco

login

line vty 5 15

login

!

end

Vnpro#show vlan

VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------

1 default active Fa0/2, Fa0/3, Fa0/4, Gi0/1

Gi0/2

10 Admin active Fa0/5, Fa0/6, Fa0/7, Fa0/8

20 User active Fa0/9, Fa0/10, Fa0/11, Fa0/12

1002 fddi-default active

1003 token-ring-default active

1004 fddinet-default active

1005 trnet-default active

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2

---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------

1 enet 100001 1500 - - - - - 0 0

10 enet 100010 1500 - - - - - 0 0

20 enet 100020 1500 - - - - - 0 0

1002 fddi 101002 1500 - - - - - 0 0

1003 tr 101003 1500 - - - - - 0 0

1004 fdnet 101004 1500 - - - ieee - 0 0

1005 trnet 101005 1500 - - - ibm - 0 0

Remote SPAN VLANs

------------------------------------------------------------------------------

Primary Secondary Type Ports

------- --------- ----------------- ------------------------------------------



Match clauses:


Action:

forward


Match clauses:


Action:

drop


Match clauses:


Action:

forward


Match clauses:


Action:

forward


Match clauses:


Action:

drop


Match clauses:


Action:

forward

Vnpro#show ip access-list










permit tcp any any


permit tcp any any

permit ip any any



10


20

Vnpro#show ip route



R 172.168.0.0/16 [120/1] via 10.200.0.2, 00:00:21, FastEthernet0/1



C 10.200.0.0 is directly connected, FastEthernet0/1

Vnpro#ping 10.200.0.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.200.0.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

Vnpro#ping 172.168.0.1



!!!!!


Vnpro#

Cấu hình tham khảo của Remote Router

Remote#show running-config

Building configuration...

Current configuration : 690 bytes

!

version 12.2

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!

hostname Remote

!

enable secret 5 $1$wDfm$5zcN0Px2wrN0be6jV74m60

enable password cisco

!

memory-size iomem 10

ip subnet-zero

!

!

!

call rsvp-sync

!

interface Loopback0

ip address 172.168.0.1 255.255.255.0

!

interface Ethernet0/0

ip address 10.200.0.2 255.255.255.0

half-duplex

!

interface Serial0/0

no ip address

shutdown

no fair-queue

!

router rip

network 10.0.0.0

network 172.168.0.0

!

ip classless

ip http server

ip pim bidir-enable

!

dial-peer cor custom

!

line con 0

line aux 0

line vty 0 4

password cisco

login

!

no scheduler allocate

end

Remote#show ip route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP

i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area

* - candidate default, U - per-user static route, o - ODR

P - periodic downloaded static route


R 192.168.10.0/24 [120/1] via 10.200.0.1, 00:00:25, Ethernet0/0


C 172.168.0.0 is directly connected, Loopback0

R 192.168.20.0/24 [120/1] via 10.200.0.1, 00:00:25, Ethernet0/0


C 10.200.0.0 is directly connected, Ethernet0/0

Remote#ping 192.168.20.4



!!!!!


Remote#telnet 192.168.20.4

Trying 192.168.20.4 ...

% Connection refused by remote host

Remote#

bài viết vlan accesslist.doc

Documents