Wstęp do list vACL
- Domyślnie listy ACL umożliwiają filtrowanie ruchu przechodzącego pomiędzy różnymi sieciami VLAN, istnieją jednak specjalne listy VACL (VLAN Access Control List) działające w obrębie jednej sieci wirtualnej VLAN.
- Lista VACL pełni rolę standardowej listy ACL, w warstwie drugiej modelu OSI, może być to lista standardowa (standard IP), rozszerzona (extended IP) jak i lista oparta o adresy MAC (MAC extended).
- Kroki postępowania podczas konfiguracji listy VACL są następujące:
- Należy stworzyć listę bądź wiele list ACL, określających adresy dla których zostanie podjęta ustalona w komendzie akcja. Adresy nie pasujące do przynajmniej jednej z list ACL będą blokowane.
- Utworzyć wpis Access Map z kolejnym numerem sekwencyjnym, przypisując do niego listę ACL bądź listę MAC.
- Określić jaka akcja ma być podjęta względem określonych przez listę VACL adresów.
- Przypisać stworzoną Access Mapę do jednej bądź wielu sieci VLAN.
Konfiguracja list vACL
Konfiguracja list vACL
Przykładowa konfiguracja listy vACL została przedstawiona w artykule: Przykładowa konfiguracja listy vACL.
Konfiguracja listy adresów MAC PACL (Port Access List)
(config)# mac access-list extended nazwa
Tworzy nową rozszerzoną listę adresów MAC.
(config-ext-macl)# {deny / permit} {any / host / źródłowy-adres-MAC} { any / host / docelowy-adres-MAC}
Określa adres źródłowy MAC oraz docelowy/e adres/y MAC dla danej listy ACL.
(config-ext-macl)# interface interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.
(config-if)# mac access-group nazwa in
Przypisuje konfigurowaną listę MAC ACL do określonego interfejsu sieciowego przełącznika, filtrując tym samym nadchodzący ruch sieciowy.
Konfiguracja listy vACL
(config)# vlan access-map nazwa [numer-sekwencyjny]
Tworzy nową listę VACL.
(config-access-map)# match {ip / mac} address {lista-ACL / lista-PACL}
Określa adresy IP bądź adresy MAC, dla których zostanie wykonana poniższa akcja.
(config-access-map)# action {drop / forward / redirect interfejs}
Określa jaka akcja zostanie wykonana dla powyższych adresów. W przypadku opcji „Redirect” nadchodzący ruch sieciowy (Dopasowany na podstawie listy ACL) będzie przekierowywany na określony w komędzie interfejs (Next-Hop).
(config)# vlan filter nazwa vlan-list {VLAN-id / all}
Przypisuje listę VACL do danego VLAN-u/ów.
Konfiguracja access-log
(config)# vlan access-log threshold 0-2147483647
Xxx
(config)# vlan access-log maxflow 0-2048
Xxx
Komendy SHOW
# show vlan access-map nazwa-VACL
Wyświetla wszystkie skonfigurowane listy VACL.
# show vlan filter
Wyświetla konfigurację funkcji VLAN filter.
# show mac access-group interface interfejs
Wyświetla interfejs z przypisaną do niego listą PACL.
# show mac access-group
Wyświetla wszystkie interfejsy przełącznika wraz z przypisanymi do nich listami PACL.
# show mac access-log config
Wyświetla konfigurację ustawień „access-log”.
# show mac access-log statistics
Wyświetla statystyki dotyczące blokowanego, przepuszczanego, monitorowanego bądź przetrzymywanego w buforze ruchu sieciowego, względem list VACL.
# show access-list
Wyświetla wszystkie listy ACL w tym listy PACL.
Dodaj komentarz