Перейти к основному содержимому

VLAN Access List

Краткое описание

Access Control List (ACL) — список контроля доступа. Это последовательный набор правил, с помощью которого контролируется сетевой трафик, т. е. разрешается (permit) или запрещается (deny) прохождение того или иного трафика на основе заданных признаков. Каждое правило задается пользователем и состоит из условия и действия при обнаружении соответствия этому условию.

Функционал ACL состоит из

  • фильтрация трафика на соответствие созданным правилам,
  • применение правил при соответствии условиям.

ACL могут применяться для различных протоколов и видов трафика. В случае VLAN ACL используется фильтрация по VLAN. Создается правило, в котором описывается критерий - запрет/разрешение на прохождение трафика с определенным номером VLAN, а применение ACL происходит на входящих и исходящих интерфейсах.

Пример конфигурации

Рассмотрим использование VLAN Access List на примере следующей топологии:

vlan_acl.png

Рисунок 1-1: Топология

На коммутаторе для VLAN 1100 необходимо разрешить прохождение трафика только от устройства PC-B, весь остальной трафик необходимо запретить.

Предварительная настройка

Предварительно на коммутаторе должны быть настроены порты. Подробную информацию о конфигурировании портов можно найти здесь.

Конфигурация портов
interface GigabitEthernet1/0/22
 spanning-tree portfast
 switchport access vlan 1100
!
interface GigabitEthernet1/0/23
 spanning-tree portfast
 switchport access vlan 1100
!

gi1/0/22 1G-Copper    Full    1000  Enabled  Off  Up          Disabled On     
gi1/0/23 1G-Copper    Full    1000  Enabled  Off  Up          Disabled On
Проверка связности коммутатора и устройств PC-A/PC-B до применения VLAN_ACL на интерфейсах
Ping PC-A с коммутатора
FCS-23XX-05:88#ping 192.168.1.2
Pinging 192.168.1.2 with 18 bytes of data:

18 bytes from 192.168.1.2: icmp_seq=1. time=0 ms
18 bytes from 192.168.1.2: icmp_seq=2. time=0 ms
18 bytes from 192.168.1.2: icmp_seq=3. time=10 ms
18 bytes from 192.168.1.2: icmp_seq=4. time=0 ms

----192.168.1.2 PING Statistics----
4 packets transmitted, 4 packets received, 0% packet loss
round-trip (ms) min/avg/max = 0/2/10
Ping PC-B с коммутатора
FCS-23XX-05:88##ping 192.168.1.3
Pinging 192.168.1.3 with 18 bytes of data:

18 bytes from 192.168.1.3: icmp_seq=1. time=0 ms
18 bytes from 192.168.1.3: icmp_seq=2. time=0 ms
18 bytes from 192.168.1.3: icmp_seq=3. time=10 ms
18 bytes from 192.168.1.3: icmp_seq=4. time=0 ms

----192.168.1.3 PING Statistics----
4 packets transmitted, 4 packets received, 0% packet loss
round-trip (ms) min/avg/max = 0/2/10

Из примеров выше видно, что пакеты между коммутатором и устройствами PC-A и PC-B проходят. Между собой устройства PC-A и PC-B также имеют связность.

Настройка ACL на коммутаторе
Примечание

Правило пропуска трафика должно быть настроено и на входящих и на исходящих пакетах.

Создание ACL
ip access-list extended VLAN_ACL
permit ip 192.168.1.3 255.255.255.0 192.168.1.10 255.255.255.0 ace-priority 60
permit ip 192.168.1.10 255.255.255.0 192.168.1.3 255.255.255.0 ace-priority 80
exit
Добавление ACL на VLAN#1100
FCS-23XX-05:88##conf t
FCS-23XX-05:88#(config)#int vlan1100
FCS-23XX-05:88#(config-if)#service-acl input VLAN_ACL
FCS-23XX-05:88#(config-if)#end
Результаты добавления Access-List

Учитывая настроенные выше правила, только PC-B и interface vlan1100 на коммутаторе должны иметь связность между собой.

Ping коммутатора с PC-A
C:\Users\PC_A>ping 192.168.1.10
Обмен пакетами с 192.168.1.10 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 192.168.1.10:
Пакетов: отправлено = 4, получено = 0, потеряно = 4
(100% потерь)
Ping PC-B с PC-A
C:\Users\PC_A>ping 192.168.1.3
Обмен пакетами с 192.168.1.3 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 192.168.1.3:
Пакетов: отправлено = 4, получено = 0, потеряно = 4
(100% потерь)
Ping коммутатора с PC-B
C:\Users\PC_B>ping 192.168.1.10

Обмен пакетами с 192.168.1.10 по с 32 байтами данных:
Ответ от 192.168.1.10: число байт=32 время=1мс TTL=64
Ответ от 192.168.1.10: число байт=32 время=1мс TTL=64
Ответ от 192.168.1.10: число байт=32 время=1мс TTL=64
Ответ от 192.168.1.10: число байт=32 время=1мс TTL=64

Статистика Ping для 192.168.1.10:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 1мсек, Максимальное = 1 мсек, Среднее = 1 мсек
Ping PC-A с PC-B
C:\Users\PC_B>ping 192.168.1.2
Обмен пакетами с 192.168.1.2 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 192.168.1.2:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4
    (100% потерь)

Как видно из выводов, пакеты между коммутатором и PC-B проходят, но между коммутатором и PC-A сетевая связность отсутствует, также как и между PC-A и PC-B, т. е. устройство отрабатывает правило ACL, примененное на vlan interface, правильно.