(TK) vAccess Control List*

vAccess Control List

Wstęp teoretyczny do list vACL

  • Domyślnie listy ACL umożliwiają filtrowanie ruchu przechodzącego pomiędzy różnymi sieciami VLAN, istnieją jednak specjalne listy VACL (VLAN Access Control List) działające w obrębie jednej sieci wirtualnej VLAN.
  • Lista VACL pełni rolę standardowej listy ACL, w warstwie drugiej modelu OSI, może być to lista standardowa (standard IP), rozszerzona (extended IP) jak i lista oparta o adresy MAC (MAC extended).
  • Kroki postępowania podczas konfiguracji listy VACL są następujące:
  • Należy stworzyć listę bądź wiele list ACL, określających adresy dla których zostanie podjęta ustalona w komendzie akcja. Adresy nie pasujące do przynajmniej jednej z list ACL będą blokowane.
  • Utworzyć wpis Access Map z kolejnym numerem sekwencyjnym, przypisując do niego listę ACL bądź listę MAC.
  • Określić jaka akcja ma być podjęta względem określonych przez listę VACL adresów.
  • Przypisać stworzoną Access Mapę do jednej bądź wielu sieci VLAN.

Konfiguracja list vACL

Przykładowa konfiguracja listy vACL została przedstawiona w artykule: Przykładowa konfiguracja listy vACL.

Konfiguracja listy adresów MAC PACL (Port Access List)

(config)# mac access-list extended nazwa

Tworzy nową rozszerzoną listę adresów MAC.

(config-ext-macl)# {deny / permit} {any / host / źródłowy-adres-MAC} { any / host / docelowy-adres-MAC}

Określa adres źródłowy MAC oraz docelowy/e adres/y MAC dla danej listy ACL.

(config-ext-macl)# interface interfejs

Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# mac access-group nazwa in

Przypisuje konfigurowaną listę MAC ACL do określonego interfejsu sieciowego przełącznika, filtrując tym samym nadchodzący ruch sieciowy.

Konfiguracja listy vACL

(config)# vlan access-map nazwa [numer-sekwencyjny]

Tworzy nową listę VACL.

(config-access-map)# match {ip / mac} address {lista-ACL / lista-PACL}

Określa adresy IP bądź adresy MAC, dla których zostanie wykonana poniższa akcja.

(config-access-map)# action {drop / forward / redirect interfejs}

Określa jaka akcja zostanie wykonana dla powyższych adresów. W przypadku opcji „Redirect” nadchodzący ruch sieciowy (Dopasowany na podstawie listy ACL) będzie przekierowywany na określony w komędzie interfejs (Next-Hop).

(config)# vlan filter nazwa vlan-list {VLAN-id / all}

Przypisuje listę VACL do danego VLAN-u/ów.

Konfiguracja access-log

(config)# vlan access-log threshold 0-2147483647

Xxx

(config)# vlan access-log maxflow 0-2048

Xxx

Komendy SHOW

# show vlan access-map nazwa-VACL

Wyświetla wszystkie skonfigurowane listy VACL.

# show vlan filter

Wyświetla konfigurację funkcji VLAN filter.

# show mac access-group interface interfejs

Wyświetla interfejs z przypisaną do niego listą PACL.

# show mac access-group

Wyświetla wszystkie interfejsy przełącznika wraz z przypisanymi do nich listami PACL.

# show mac access-log config

Wyświetla konfigurację ustawień „access-log”.

# show mac access-log statistics

Wyświetla statystyki dotyczące blokowanego, przepuszczanego, monitorowanego bądź przetrzymywanego w buforze ruchu sieciowego, względem list VACL.

# show access-list

Wyświetla wszystkie listy ACL w tym listy PACL.

Pozostałe tematy związane z sieciami VLAN

VXLAN

TRUNK (ISL & 802.1Q)

PDFPRINT

Robert T Kucharski

Cisco Network Engineer in GPW.

Dodaj komentarz