ACL basic Alcatel
Kỹ ThuậtThủ Thuật

Kiểm soát truy cập mạng (ACL) trên OmniSwitch Alcatel-Lucent OS6450 OS6860

Lê Trần

Khi bạn muốn tạo các chính sách (Policy) cho từng network, bạn phải sử dụng tới Access Control Lists (ACL) trên OmniSwitch 6250/6350/6450/6860. Nói một cách khác, switch lúc này đóng vai trò như là một tường lửa thu nhỏ, có chức năng chặn hoặc cho phép các lưu lượng đi qua nó tùy thuộc vào điều kiện chúng ta truyền vào.

ACL gồm 3 loại:

  • Layer 2: dùng để lọc lưu lượng dựa theo MAC Address.
  • Layer 3/4: lọc tại lớp Network – sử dụng địa chỉ IP và port
  • Multicast

Để cấu hình ACL, chúng ta sẽ định nghĩa các thành phần sau:

  • Mặc định lưu lượng qua switch không trùng với chính sách (Policy) nào sẽ được chấp nhận (Accept). Để thay đổi điều này bạn dùng lệnh: qos default bridged disposition, qos default multicast disposition
  • Nhóm hoặc host – thường là nhóm về network hoặc vlan đi kèm với port hoặc dịch vụ.
  • Điều kiện (Condition) của nhóm, ví dụ như là nhóm network Nguồn (Source) hoặc là Đích (Destination). Hành động (Action) được thực hiện khi phù hợp với điều kiện
  • Các tính năng bảo mật thêm của ACL.

Thông số kỹ thuật của ACL:

Ví dụ: Chặn/cấm tất cả các network thuộc vlan 10 (vlan của khách) tới network Server

Định nghĩa network của server với tên “net_server”
-> policy network group net_server 172.16.1.0 mask 255.255.255.0

Tạo điều kiện – luồng lưu lượng đi từ (source) vlan 10 đến (destination) là network server
-> policy condition cond1 source vlan 10 destination network group net_server

Tạo hành động tên là “Block” sẽ chặn luồng lưu lượng đúng với điều kiện. Ở câu lệnh này bạn truyền tham số deny hoặc drop đều được
-> policy action Block disposition drop

Tạo rule ứng với điều kiện của nhóm network mình đã khai báo:
-> policy rule deny_guest condition cond1 action Block

Kích hoạt ACL
-> qos enable
-> qos apply

Bạn lưu ý là để ACL chạy được thì lưu lượng bắt buộc phải chạy qua Switch, tức là default gateway phải trỏ tới switch. Nên thường ACL sẽ được dùng trên core switch.

Để xóa các ACL bạn gõ các lệnh sau:
-> qos disable
-> qos revert
-> qos flush
-> qos apply

Kiểm thử (testing) cấu hình của ACL. Bạn gõ lệnh show policy classify để xem ACL chạy có đúng hay không

-> show policy classify l3 source vlan 10 destination ip 172.16.1.254

Các câu lệnh khác dùng để xem trạng thái của ACL:

-> show policy condition
-> show policy rule
-> show policy action
-> show policy network group

Ví dụ trên minh họa tình huống áp dụng rất cơ bản, đối với các vấn đề nâng cao, bạn vui lòng tham khảo thêm tài liệu: OmniSwitch 6250/6350/6450 Network Configuration Guide

You May Also Like

Certified load to Running

Quản lý các tệp cấu hình (CMM) của Switch Alcatel – Phần 2

Lê Trần

Switch HP Procurve 2650 48 port 1G, 2 port combo

Lê Trần
CMM Alcatel

Quản lý các tệp cấu hình (CMM) của Switch Alcatel

Lê Trần

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.