» » » Lab 3.3: (9) Kịch bản ACL áp dụng cho Guest Vlan và Staff Vlan trên Switch Layer 3

Lab 3.3: (9) Kịch bản ACL áp dụng cho Guest Vlan và Staff Vlan trên Switch Layer 3

By , Released at 0 View
Share on Facebook Share on Tweet

Mục tiêu thực hiện:
- Thiết lập ACL trên CoreSwitch tương ứng với GuestVlan.
- Thiết lập ACL trên CoreSwitch tương ứng với StaffVlan.
- Thiết lập ACL trên CoreSwitch tương ứng với ContractorVlan.

Nội dung triển khai:
Thiết lập ACL trên CoreSwitch tương ứng với GuestVlan.
- Thiết lập ACL trên CoreSwitch sao cho GuestVlan:
    + Truy cập tới ServerInstall 172.16.10.5 chứa các Files cài đặt.
    + Truy cập tới các Printers thuộc lớp mạng 172.16.10.32/27.
    + Cấm truy cập tới tất cả các InternalLAN còn lại.
    + Truy cập Internet như thông thường.

- Áp ACL trên Interface Vlan 40 (GuestVlan).
interface Vlan40
 ip address 172.16.10.129 255.255.255.224
 ip access-group ACLvlan40 in
 exit

- Định nghĩa ACL tương ứng với GuestVlan.
ip access-list extended ACLvlan40
 remark Allow VL40-to-SourceInstall
 10 permit ip 172.16.10.128 0.0.0.31 172.16.10.5 0.0.0.0
 remark Allow VL40-to-Printers
 11 permit ip 172.16.10.128 0.0.0.31 172.16.10.32 0.0.0.31

 remark Deny VL40-to-PrivateRangeIP
 21 deny ip 172.16.10.128 0.0.0.31 10.0.0.0 0.255.255.255
 22 deny ip 172.16.10.128 0.0.0.31 172.16.0.0 0.31.255.255
 23 deny ip 172.16.10.128 0.0.0.31 192.168.0.0 0.0.255.255

 remark Allow VL40-to-Internet
 30 permit ip 172.16.10.128 0.0.0.31 any
 exit

Thiết lập ACL trên CoreSwitch tương ứng với StaffVlan.
- Thiết lập ACL trên CoreSwitch sao cho StaffVlan:
    + StaffVlan có RangeIP 172.16.20.2-172.16.20.10 được phép truy cập tới ManagementNetwork.
    + StaffVlan với các IP còn lại không được phép truy cập tới ManagementNetwork.
    + Được phép truy cập tới ServerNetwork, PrinterNetwork, ContractorNetwork và Internet.

interface vlan 50
  ip access-group ACLvlan50 in
  exit

ip access-list extended ACLvlan50
 remark Allow VL50-ItIpRange-to-Management
 11 permit ip 172.16.20.2 0.0.0.0 192.168.0.0 0.0.0.31
 12 permit ip 172.16.20.3 0.0.0.0 192.168.0.0 0.0.0.31
 13 permit ip 172.16.20.4 0.0.0.0 192.168.0.0 0.0.0.31
 14 permit ip 172.16.20.5 0.0.0.0 192.168.0.0 0.0.0.31
 15 permit ip 172.16.20.6 0.0.0.0 192.168.0.0 0.0.0.31
 16 permit ip 172.16.20.7 0.0.0.0 192.168.0.0 0.0.0.31
 17 permit ip 172.16.20.8 0.0.0.0 192.168.0.0 0.0.0.31
 18 permit ip 172.16.20.9 0.0.0.0 192.168.0.0 0.0.0.31
 19 permit ip 172.16.20.10 0.0.0.0 192.168.0.0 0.0.0.31
 remark Deny VL50-to-Management
 20 deny ip 172.16.20.0 0.0.0.255 192.168.0.0 0.0.0.31

 remark Allow VL50-to-Internet-and-OthersNetwork
 30 permit ip 172.16.20.0 0.0.0.255 any
 exit

Thiết lập ACL trên CoreSwitch tương ứng với ContractorVlan.
- Thiết lập ACL trên CoreSwitch sao cho ContractorVlan:
    + Được phép truy cập tới PrinterNetwork.
    + Được phép truy cập tới StaffNetwork.
    + Được phép truy cập tới Server chứa Files cài đặt.
    + Cấm truy cập tới ManagementNetwork, ServerNetwork.
    + Được phép truy cập Internet.

interface vlan 30
  ip access-group ACLvlan30 in
  exit

ip access-list extended ACLvlan30
 remark Allow VL30-to-Printer
 10 permit ip 172.16.10.64 0.0.0.31 172.16.10.32 0.0.0.31
 remark Allow VL30-to-Staff
 20 permit ip 172.16.10.64 0.0.0.31 172.16.20.0 0.0.0.255
 remark Allow VL30-to-SourceInstall
 30 permit ip 172.16.10.64 0.0.0.31 172.16.10.5 0.0.0.0

remark Deny VL30-to-PrivateRangeIP
 41 deny ip 172.16.10.64 0.0.0.31 10.0.0.0 0.255.255.255
 42 deny ip 172.16.10.64 0.0.0.31 172.16.0.0 0.31.255.255
 43 deny ip 172.16.10.64 0.0.0.31 192.168.0.0 0.0.255.255

 remark Allow VL50-to-Internet
 50 permit ip 172.16.20.0 0.0.0.255 any
 exit

Tham khảo các videos lý thuyết Hướng dẫn thực hành CCNA R&S để biết thêm thông tin chi tiết. 
Tags:
Share on Facebook Share on Tweet

You Might Also Like

0 comments

Subscribe to:Post Comments (Atom)