Чтобы ограничить доступ согласно определенным параметрам
были придуманы списки ACL,
но у них есть, как минимум, один недостаток – они могут фильтровать трафик,
который проходит между интерфейсами третьего уровня (будь то физические
интерфейсы или SVI).
Что делать с трафиком внутри одного VLAN, как его контролировать? Для этого были придуманы славными
инженерами VLAN ACL.
Они конфигурируется через VLAN access-map схожим
образом с конфигурированием route map.
Конечно же для настройки изначально должен быть настроен ACL или
несколько таких.
Switch(config)# vlan access-map map-name [sequence-number]
В режиме настройки мы можем указать несколько правил и
действие по-умолчанию. Привяжем несколько ACL.
Switch(config-access-map)# match ip address {acl-number | acl-name}Switch(config-access-map)# match ipx address {acl-number | acl-name}Switch(config-access-map)# match mac address acl-name
Указываем действие, которое будет производиться с пакетами,
попавшими под один из этих ACL
Switch(config-access-map)# action {drop | forward [capture] | redirect type mod/num}
мы можем отбросить пакет, обработать его или перенаправить
на другой интерфейс. Действие по-умолчинию – drop.
И конечно необходимо применить данный VACL к VLAN-у
Switch(config)# vlan filter map-name vlan-list vlan-list
Пример настройки.
Тут мы закрыли доступ хоста с адресом 192.168.99.17
к другим хостам в его подсети. Если пакет попадает под правило списка доступа,
то он будет отброшен. Иначе для него будет применяться следующее правило,
которое разрешает доступ.
Switch(config)# ip access-list extended local-17Switch(config-acl)# permit ip host 192.168.99.17 192.168.99.0 0.0.0.255Switch(config-acl)# exitSwitch(config)# vlan access-map block-17 10Switch(config-access-map)# match ip address local-17Switch(config-access-map)# action dropSwitch(config-access-map)# vlan access-map block-17 20Switch(config-access-map)# action forwardSwitch(config-access-map)# exitSwitch(config)# vlan filter block-17 vlan-list 99
No comments:
Post a Comment