Blog

Konfiguracja statycznych sieci VLAN

Tworzenie VLAN-ów

Tworzenie nowych sieci wirtualnych VLAN

(config)# vlan vlan-ID

Tworzy nową sieć VLAN na przełączniku (Po wpisaniu komendy [vlan vlan-ID] nowa sieć wirtualna nie jest jeszcze w pełni utworzona, co obrazuje komenda [do show vlan]. Dopiero wyjście z poziomu konfiguracji (config-vlan) bądź stworzenie nowej sieci wirtualnej, dodaje konfigurowaną sieć do bazy VLAN w pliku „vlan.dat”).

(config)# vlan vlan-ID-vlan-ID

Tworzy zakres nowych sieci VLAN.

(config-vlan)# name nazwa(VLANXXX)

Zmienia domyślną nazwę utworzonego VLAN-u (Domyślna nazwa „VLANXXXX” zawiera numer ID konfigurowanej sieci VLAN).

(config-vlan)# mtu 576-18190

Określa wartość MTU dla konfigurowanej sieci VLAN.

(config-vlan)# [no] shutdown

Włącza / Wyłącza konfigurowaną sieć VLAN.

(config-vlan)# state {suspend / active}

Zawiesza bądź odwiesza aktywność konfigurowanej sieci VLAN.

(config-vlan)# no autostate

Xxx

Po globalnym wyłączeniu sieci VLAN, ruch napływający z należących do niej interfejsów, zostanie porzucony.

(config)# [no] shutdown vlan vlan-ID

Włącza / Wyłącza wskazaną sieć VLAN.

Zaawansowana konfiguracja sieci VLAN

(config)# vlan dot1q tag native

Taguje natywną sieć VLAN na wszystkich połączeniach Trunk-owych.

(config)# vlan internal allocation policy {ascending / descending}

Określa politykę przydziału sieci Internal VLAN. Opcja ascending przydziela wartości od ID 1006 w górę, natomiast descending od 4094 w dół.

(config)# interface interfejs

Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# switchport trunk native vlan tag

Taguje natywną sieć VLAN na konfigurowanym interfejsie.

Konfiguracja interfejsów

(config)# interface interfejs

Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# switchport mode access

Statycznie przypisuje funkcje dostępu (Access) do konfigurowanego interfejsu. Komenda domyślnie wyłącza protokół DTP na konfigurowanym interfejsie.

Tagowany ruch sieciowy nadchodzący na port działający w trybie Access, zostanie zaakceptowany jedyne w przypadku, gdy nadchodząca ramka Ethernet-owa 802.1Q jest tagowana w tej samej sieci VLAN co dany interfejs.

(config-if)# switchport access vlan vlan-ID

Przypisuje sieć VLAN do konfigurowanego interfejsu.

(config-if)# switchport voice vlan vlan-ID

Przypisuje dodatkową sieć VOICE-VLAN do konfigurowanego interfejsu.

Konfiguracja dynamicznych sieci VLAN

Dynamiczne sieci VLAN wykorzystują bazę VMPS (VLAN Membership Policy Server) do dynamicznego przypisywania interfejsom, sieci VLAN na podstawie adresów MAC.

Domyślnie każdy interfejs z włączoną funkcją dynamicznego przypisywania sieci VLAN, należy do VLAN-u 1.

Funkcja VMPS stanowi własność firmy Cisco (Cisco proprietary).

(config)# vmps server adres-IP [primary]

Określa adres IP głównego serwera VMPS.

(config)# vmps reconfirm 0-120(60)(minuty)

Określa odstępy czasowe w wysyłaniu wiadomości potwierdzających członkostwo danego interfejsu w danej sieci VLAN.

(config)# interface interfejs

Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# switchport mode access

Statycznie przypisuje funkcje dostępu (Access) do konfigurowanego interfejsu. Komenda domyślnie wyłącza protokół DTP na konfigurowanym interfejsie.

(config-if)# switchport access vlan dynamic

Umożliwia dynamiczne przypisanie sieci VLAN do danego interfejsu.

Komendy SHOW

# show interface summary

Wyświetla z suma-ryzowany status aktywności każdego interfejsu.

# show interface status

Wyświetla status aktywności każdego interfejsu.

# show interface status err-disabled

Wyświetla interfejsy blokowane przez funkcję Err-disabled.

# show interface status module ID

Wyświetla status aktywności interfejsów danego modułu.

# show interface description

Wyświetla opis każdego interfejsu.

# show interface switchport

Wyświetla konfiguracje wszystkich interfejsów.

# show interface interfejs switchport

Wyświetla ustawienia interfejsu pod kontem warstwy drugiej modelu OSI.

# show vlan [id vlan-ID / brief / summary]

Wyświetla skonfigurowane sieci VLAN.

# show vlan internal usage

Wyświetla zarezerwowane sieci Internal VLAN.

# show vmps

Wyświetla konfiguracje funkcji VMPS.

# show vmps statistics

Wyświetla statystyki funkcji VMPS.

Pozostałe tematy związane z sieciami VLAN

• Teoria sieci VLAN
• Troubleshooting sieci VLAN
• Konfiguracja sieci VLAN
• Private Virtual Local Area Network
• vAccess Control List

Proces Troubleshooting-u sieci VLAN

Określenie statusu interfejsu

• Komenda [show interfaces] oraz komenda [show interfaces description] wyświetla aktualny stan interfejsów sieciowych, przy pomocy dwóch wartości: „Line Status” oraz  „Protocol Status”. Z czego „Line Status” określa stan połączenia w warstwie pierwszej, a „Protocol Status” w warstwie drugiej.
• Poszczególne kombinacje statusu „Line Status” oraz „Protocol Status”, ułatwiają zlokalizowanie problemu z brakiem połączenia sieciowego (Ponad to komenda [show interfaces] wyświetla statystyki wysłanych ramek Ethernet-owych).

Znaczenie status interfejsu sieciowego

Analiza sieci VLAN oraz połączeń Trunk-owych

• Analizę sieci VLAN należy rozpocząć od określenia:
  • Stanu fizycznego połączenia hosta z przełącznikiem.
  • Trybu w jakim pracuje dany interfejs (Access, Trunk).
  • Sieci VLAN Jakiej używa w trybie dostępu (Access) bądź jakie sieci VLAN przepuszcza w trybie Trunk.
  • Czy dana sieć VLAN jest aktywna (Komenda [show vlan] wyświetla stan sieci wirtualnych, jeżeli status sieci jest w trybie „act/lshut” bądź funkcjonuje w trybie „suspended”, oznacza to sieć jest wyłączona a należące do niej interfejsy nie będą przepuszczały ruchu sieciowego).
• Jeżeli istniejące połączenie działa w trybie Trunk należy dodatkowo sprawdzić w jakim stanie pracują interfejsy po obydwóch stronach połączenia. Ponieważ w stanie „Dynamic Auto” żadna z stron nie jest w stanie nawiązać połączenia Trunk-owego, a tym samym interfejsy będą pracowały w trybie Access (Przesyłając jedynie ruch z VLAN-u domyślnego).

Logika postępowania przy konfiguracji sieci VLAN

1. Należy określić wszystkie interfejsy mające pracować w trybie dostępowym (access).
2. Należy sprawdzić dostępność sieci VLAN oraz sposób w jaki zostały dodane do pamięci przełącznika.
3. Należy sprawdzić jakie sieci VLAN są dostępne na połączeniach Trunk-owych (Po obydwóch stronach połączenia).
4. Należy sprawdzić tryb pracy połączenia Trunk-owego.

Problemy związane z sieciami VLAN

• VLAN natywny (native VLAN) – W przypadku konfiguracji natywnych sieci VLAN na połączeniach Trunk-owych, należy pamiętać, aby ta sama sieć natywna była skonfigurowana po obydwóch stronach połączenia.

Stan err-disable

• Interfejs przełącznika sieciowego może zostać przeniesiony w stan „err-disable” w przypadku:
  • Zastosowania złego okablowania (Np. uszkodzonego bądź zbyt długiego).
  • Problemów z kartą sieciową (NIC).
  • Port duplex misconfiguration.
  • Duplex misconfiguration.
  • BPDU guard violation.
  • Port channel misconfiguration.
  • UDLD aggressive mode.
  • Late-collision detection.
  • Link-flap detection.
  • Security violation.
  • DHCP snooping rate-limit.
  • Storm control.
  • Inline power.
  • DAI inspection.

Problemy związane z sieciami prywatnymi (Private VLAN)

• Sieci prywatne nie współpracuję z interfejsami wirtualnymi EtherChannel (Współpraca obydwóch rozwiązań została dodana w systemie Cisco IOS 15.0(2)SG.

Pytania i odpowiedzi

? Informacja: Interfejs Trunk skonfigurowany za pomocą komendy [switchport mode trunk / switchport allowed vlan vlan-IDs] nie jest przypisany do żadnej z sieci VLAN. Jeżeli jednak port po drugiej stronie połączenia Ethernet-owego zostanie wyłączony interfejs zostanie przypisany do natywnej sieci VLAN (VLAN 1).

Pozostałe tematy związane z sieciami VLAN

• Teoria sieci VLAN
• Troubleshooting sieci VLAN
• Konfiguracja sieci VLAN
• Private Virtual Local Area Network
• vAccess Control List

Budowa i działanie prywatnych sieci VLAN

• Wirtualne sieci prywatne PVLAN, umożliwiają odseparowanie od siebie urządzeń, wewnątrz jednej sieci VLAN. Dzięki czemu wykorzystując jedną pule adresów IP możemy stworzyć strukturę, w której hosty będą miały dostęp do Internetu ale nie będą mogły komunikować się ze sobą nawzajem.
• Prywatna sieć VLAN składa się z jednej głównej sieci (Primary VLAN) oraz podległym jej sieciom (Secondary VLAN).

• Podległe sieci „Secondary VLAN” mogą pracować w trybie:
  • Isolated – Urządzenia należące do danej sieci mogą komunikować się jedynie z główną siecią „Primary VLAN”. Komunikacja pomiędzy hostami wewnątrz sieci nie jest dozwolona (Interfejsy działające w trybie „Host” mogą komunikować się jedynie z interfejsami pracującymi w trybie „Promiscuous”).
  • Community – Urządzenia należące do danej sieci mogą komunikować się z główną siecią „Primary VLAN” oraz innymi hostami należącymi do tej samej sieci (Interfejsy działające w trybie „Host” mogą komunikować się z interfejsami pracującymi w trybie „Promiscuous” oraz innymi interfejsami pracującymi w trybie „Host”).
  • Twoway-community – Działanie sieci jest zbliżone do trybu „Community”. Z tym że tryb ten posiada dodatkową możliwość tworzenia dwukierunkowych list dostępowych VACL.
• Poszczególne interfejsy należące do sieci głównej jak i sieci pobocznych pracują w następujących trybach:
  • Promiscuous Ports – Stanowi interfejs podłączony do urządzenia uprzywilejowanego (Rutera, zapory ogniowej czy innego urządzenia pełniącego rolę bramy domyślnej). Interfejs może komunikować się z wszystkimi interfejsami z sieci głównej „Primary VLAN” jak i sieci podległych „Secondary VLAN”.
  • Host Ports – Stanowi interfejs podłączony do urządzania posiadającego ograniczone uprawnienia. Port ten może komunikować się z interfejsem „Promiscuous” bądź niekiedy z innymi interfejsami „host” (Community)

Sieci Privat VLAN nie są obsługiwane przez protokół VTP w wersji 1 oraz 2, dlatego powinny pracować w trybie transparentnym „transparent” bądź w wersji 3 protokołu VTP.

Każda sieć „Secondary VLAN” musi być skojarzona z jedną siecią „Primary VLAN”. 

Konfiguracja prywatnych sieci VLAN

Tworzenie sieci prywatnych

Konfiguracja sieci „Secondary VLAN”

(config)# vlan VLAN-id

Tworzy nową sieć wirtualną VLAN.

(config-vlan)# private-vlan {isolated / community}

Określa daną sieć VLAN jako sieć prywatną „Secondary VLAN”.

Konfiguracja sieci „Primary VLAN”

(config)# vlan VLAN-id

Tworzy nową sieć wirtualną VLAN.

(config-vlan)# private-vlan primary

Określa konfigurowaną sieć wirtualną jako sieć prywatną „Primary VLAN”.

(config-vlan)# private-vlan association {secondary-VLANs / add secondary-VLANs / remove secondary-VLANs}

Przypisuje do jednej głównej sieci „Primary VLAN” sieci podległe „Secondary VLAN”.

Konfiguracja interfejsów

Konfiguracja interfejsu podłączonego do sieci „Secondary VLAN”

(config)# interface interfejs

Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# switchport mode private-vlan host

Określa tryb pracy interfejsu sieciowego na „Host”.

(config-if)# switchport private-vlan host-association primary-VLAN secondary-VLAN

Przypisuje do konfigurowanego interfejsu, sieć „Primary VLAN” oraz podlegającą jej sieć „Secondary VLAN”.

Konfiguracja interfejsu podłączonego do sieci „Primary VLAN”

(config)# interface interfejs

Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# switchport mode private-vlan promiscuous

Określa tryb pracy interfejsu sieciowego na „Promiscuous”.

(config-if)# switchport private-vlan mapping primary-VLAN {secondary-VLANs / add secondary-VLANs / remove secondary-VLANs}

Przypisuje do konfigurowanego interfejsu sieć „Primary VLAN” oraz podlegające sieci „Secondary”.

Konfiguracja prywatnych sieci VLAN na interfejsie wirtualnym SVI

(config)# interface primary-VLAN-id

Przechodzi do konfiguracji interfejsu SVI, sieci „Primary VLAN”.

(config-if)# private-vlan mapping {secondary-VLANs / add secondary-VLANs / remove secondary-VLANs}

Przypisuje do konfigurowanego interfejsu SVI sieci „Secondary VLAN”.

Komendy SHOW

# show vlan private-vlan

Wyświetla informacje o skonfigurowanych sieciach prywatnych PVLAN.

# show vlan private-vlan type

Wyświetla skrócone informacje o skonfigurowanych sieciach prywatnych PVLAN.

Pozostałe tematy związane z sieciami VLAN

• Teoria sieci VLAN
• Troubleshooting sieci VLAN
• Konfiguracja sieci VLAN
• Private Virtual Local Area Network
• vAccess Control List

Podstawowe informację dotyczące sieci VLAN

Zasada działania sieci VLAN

• Sieci wirtualne VLAN dzielą jeden przełącznik fizyczny na wiele przełączników wirtualnych.
• Każdy z interfejsów przełącznika fizycznego, posiada przypisany numer PVID (Port VLAN ID) sieci VLAN do której należy.
• Interfejsy przełącznika działające w trybie dostępowym „Access”, nie tagują wysyłanych przez siebie ramek Ethernet-owych. Przez co urządzenia końcowe nie są świadome istnienia podziału na sieci VLAN.
  • Ruch tagowany otrzymany na interfejsie dostępowym jest porzucany, chyba że został o tagowany w sieci VLAN, do której należy określony interfejs sieciowy.
• Oznaczanie (tagowanie) ramek zachodzi podczas przesyłania danych przez połączenia trunk-owe.

Flat network topology – Stanowi sieć lokalną składającą się jedynie z urządzeń warstwy drugiej (Stanowi pojedynczą domenę rozgłoszeni-ową).

Rodzaje sieci VLAN

• W
  celu zapewnienia wstecznej kompatybilności z urządzeniami nie wspierającymi
  podziału na sieci wirtualne, przełączniki Cisco wykorzystują sieć VLAN 1. Jest
  to sieć nie-tagowana na połączeniach trunk-owych, nawiązywanych przy pomocy
  enkapsulacji 802.1Q (Zasada ta nie dotyczy enkapsulacji za pomocą protokołu ISL).
• Zakres
  numeracji sieci VLAN (VLAN ID numbers):

Zakresy ID sieci VLAN

• Default VLAN – Domyślna sieć VLAN, do której należą wszystkie interfejsy nowo zakupionego przełącznika, w przypadku firmy Cisco jest to sieć VLAN o ID 1 (Sieć ta nie może być usunięta, a jej wartość ID nie może ulec zmiennie).
  • Domyślna sieć VLAN jest wykorzystywana do przenoszenia ruchu kontrolnego np. CDP, STP.
• Native VLAN – Nie-tagowana sieć VLAN stosowana na połączeniach trunk-owych przy enkapsulacji 802.1Q.
  • W przypadku zmiany wartości ID domyślnej sieci natywnej VLAN 1 na inną, ruch kontrolny nadal będzie przesyłany za pomocą sieci VLAN 1 (Z tymże, że będzie on tagowany) (Nie dotyczy protokołu STP).
• 1002-1005 VLANs – Sieci VLAN zarezerwowane dla obecnie nie używanych protokołów takich jak Token Ring czy FDDI (Sieci te nie mogą być usunięte, a ich wartość ID nie może ulec zmiennie).
• Standard VLANs – Podstawowy zakres sieci VLAN od 1 do 1005.
• Extended VLANs – Rozszerzony zakres sieci VLAN od 1006 do 4094. Sieci Extended VLAN:
  • Mogą być konfigurowane jedynie w przypadku zastosowania protokołu VTP w trybie Transparent bądź VTPv3.
    • Przy zastosowaniu trybu VTP Transparent przechowywane są w pliku „Running Configuration”.
    • Przy zastosowaniu protokołu VTPv3 przechowywane są w pliku „VLAN database”.
• Internal VLAN – Sieć VLAN zarezerwowana na użytek wewnętrzny konfigurowanego przełącznika, tworzona równocześnie z interfejsami wirtualnymi SVI [show vlan internal usage].
• Management VLAN – Odseparowana sieć VLAN przeznaczoną do przenoszenia ruchu administracyjnego.
• Data VLAN – Sieć przeznaczona do przenoszenia zwykłego ruchu sieciowego.
• Voice VLAN – Sieć przeznaczona do przenoszenia ruchu głosowego VoIP.

Przypisanie interfejsu do sieci VLAN która nie istnieje na przełączniku, spowoduje jej automatyczne utworzenie (Przełącznik musi działać w trybie „VTY server” bądź „VTP Transparent” aby automatyczne utworzyć nową sieć VLAN).

Rodzaje ruchu sieciowego

• Network Management
• IP Telephony
• IP Multicast
• Data
• Scavenger Class

Cechy sieci wirtualnych VLAN

• Sieci VLAN umożliwiają podzielenie jednego przełącznika fizycznego na wiele przełączników wirtualnych. Powstałe dzięki temu sieci są od siebie odseparowane, a tym samym hosty do nich należące nie mogą nawiązać ze sobą komunikacji w warstwie drugiej modelu OSI. W celu nawiązania komunikacji pomiędzy hostami niezbędny jest odpowiednio skonfigurowany ruter bądź przełącznik warstwy 3 MLS (Multi Layer Switch).
• Sieci VLAN dzieląc jeden fizyczny przełącznik na mniejsze sieci wirtualne, umożliwiają znaczące zmniejszenie wielkości domen rozgłoszeniowych, co w efekcie oznacza:
  • Mniejsze zużycie CPU każdego z hostów, osiągnięte dzięki ograniczeniu zbędnego ruchu sieciowego.
  • Zwiększenie poziomu bezpieczeństwa związanego z zmniejszonym rozprzestrzenianiem się ruchu multicast jak i ruchu rozgłoszeniowego broadcast oraz z możliwością filtrowania ruchu za pomocą list ACL.

Topologia wirtualnych sieci VLAN

Planowanie wdrożenia sieci VLAN

• Przed wdrożeniem sieci VLAN należy rozważyć
  następujące zagadnienia:
  • Nazewnictwo
    oraz numerowanie sieci VLAN wraz z przypisanymi do nich sieciami IP.
  • Wykorzystywaną
    topologię sieci VLAN (End-to-end bądź Local VLAN).
  • Rozmieszczenie
    połączeń Trunk-owych.
  • Ustawienia
    protokołu VTP.

Topologia End-to-end VLANs

• Topologia End-to-end VLANs – Rozciąga sieci VLAN pomiędzy wieloma blokami (Switch Blok). Dzięki czemu:
  • Użytkownicy końcowi należą do jednej sieci, niezależnie od swojej fizycznej lokalizacji.
  • Użytkownicy końcowi są związani z jedną siecią VLAN, co ułatwia administratorowi zarządzanie adresacją i dostępami
  • Zmiana lokalizacji użytkownika końcowego nie wymaga zmiany sieci VLAN, do której należy.
  • Wszystkie urządzenia w danej sieci VLAN posiadają adresy z tej samej podsieci IP.
• Zalety stosowania topologii End-to-end VLANs:
  • Grouping Users – Użytkownicy mogą przynależeć do jednej sieci IP, niezależnie do swojej fizycznej lokalizacji.
  • Security – Sieci VLAN mogą ograniczać dostęp do wrażliwych zasobów.
  • Applying QoS – Ruch z danej sieci VLAN może mieć wyższy lub niższy priorytet dostępu do zasobów sieciowych.
  • Routing Avoidance – Umożliwia połączenie znacznej ilości użytkowników w jednej sieci, dzięki czemu będą oni mieli dostęp do potrzebnych im zasobów wewnątrz swojej sieci, bez użycia routingu.
  • Special-Purpose VLAN – Umożliwia rozciągnięcie sieci przystosowanej do przenoszenia jednego rodzaju ruchu sieciowego (np. sieci typu multicast bądź voice) na obszarze całego kampusu.
• Zalecenia względem implementacji topologii End-to-end VLANs:
  • Ponieważ użytkownicy mogą dowolnie przemieszczać się pomiędzy lokalizacjami, zachowując sieć do której należą, każdy przełącznik powinien znać wszystkie dostępne sieci VLAN. Nawet jeśli obecnie nie ma na nim żadnych interfejsów wymagających należności do danego VLAN-u.
  • Troubleshooting warstwy drugiej rozciągniętej pomiędzy wieloma przełącznikami należącymi do różnych warstw modelu hierarchicznego, jest wymagający ze wzglądu na duży poziom skomplikowania topologii protokołu STP.

Stosowanie Topologii End-to-end VLANs nie jest polecane z powodu zwiększonego obciążenia procesora przez ruch rozgłoszeniowy oraz dużego poziomu skomplikowania topologii STP.

Topologia Local VLANs

• Topologia Local VLANs – Zachowuje poszczególne sieci VLAN w obrębie jednego bloku (Switch Blok) , tym samym:
  • Ruch L2 zostaje ograniczony swoim zasięgiem do warstwy dostępowej (Access Layer).
  • Ruch L3 jest wykorzystywana w warstwie dystrybucji oraz warstwie rdzenia (Distribution & Core).
  • Użytkownicy końcowi są zgrupowani w sieciach VLAN względem swojej fizycznej lokalizacji.
  • Zmiana lokalizacji użytkownika końcowego wymaga by zmienił on sieć VLAN do której należy.
• Zalety stosowania topologii Local VLANs:
  • Deterministic Traffic Flow – Przepływ ruchu warstwy drugiej jak i trzeciej jest łatwy do przewidzenia, dzięki czemu wykrywanie oraz rozwiązywanie problemów jest znacznie prostsze jak i szybsze.
  • Active Redundant Paths – W przypadku korzystania z protokołów PVST bądź MST, redundantne, nadmiarowe połączenia nie są blokowane, co niweluje problem niewykorzystanych ścieżek.
  • High Availability – Nadmiarowe ścieżki istnieją na wszystkich poziomach modelu hierarchicznego. W przypadku warstwy dostępu jak i warstwy dystrybucji z wykorzystaniem protokołów FHRP dla stworzenia nadmiarowości bramy domyślnej (Dzięki ograniczeniu pojedynczej sieci VLAN do jednego przełącznika dostępowego, protokół STP nie wpływa negatywnie na funkcjonowanie redundancji bramy domyślnej, koordynując działania obydwóch warstw).
  • Finite Failure Domain – Awaria pojedynczego VLAN-u w danym bloku dotyka małej liczby użytkowników.
  • Scalable Design – Model lokalnej sieci VLAN umożliwia proste rozszerzanie topologii o nowe przełączniki.

Stosowanie Topologii local VLANs jest zalecane w wytycznych Cisco Enterprise Campus Architecture.

• Zasada 20/80 – Mówi, że 80% ruchu sieciowego jest obsługiwane lokalnie a 20% przekracza rdzeń sieci.

Pozostałe tematy związane z sieciami VLAN

• Teoria sieci VLAN
• Troubleshooting sieci VLAN
• Konfiguracja sieci VLAN
• Private Virtual Local Area Network
• vAccess Control List