Cisco IOS 20 - VLAN access-map - VLAN map - VACL

Obecné informace o ACL, včetně dělení a popisu Standard, Extended a Named ACL, je obsaženo v článku Cisco IOS 8 - Access Control List. Znalost ACL a jejich konfigurace je potřebným předpokladem pro použití VLAN map.

Co je to VLAN map / VACL?

VLAN mapy slouží k řízení (omezování a povolování) provozu v rámci VLANy. Pomocí VLAN map se kontroluje veškerý provoz, který vstupuje do VLANy (třeba přes port nebo z jiné VLANy) a může být zakončený ve stejné VLANě nebo jiné. Takže se pomocí něj kontroluje, jak routovaný provoz (L3, na který se jinak používá Router ACL), tak i bridgovaný - switchovaný provoz (L2, pro který máme Port ACL). Provoz může být kontrolovaný na základě IP nebo MAC adres.

VLAN mapy jsou ve své formě podobné jako route map u Policy Based Routingu. VLAN mapa se skládá z jedné nebo více číslovaných sekvencí. Uvnitř sekvence se používá klíčové slovo match a využije se IP Standard, IP Extended, IP Named Standard, IP Named Extended  nebo MAC Named Extended ACL.

Pozn.: VLAN map nejsou podporovány na nižších řadách switchů, jako je Catalyst 2960.

Vlastnosti VLAN map

• kontroluje všechny pakety (routované i bridgované - switchované), takže můžeme kontrolovat provoz mezi zařízeními v rámci jedné VLAN
• pro IPv4 se používají L3 adresy (IP), pro ostatní L2 adresy (MAC)
• pakety mohou do VLANy vstupovat buď přes switch port nebo přes routovaný port (jiná VLAN přes routing)
• zpracovávají se v HW = jsou rychlé
• nepoužívá určení směru in/out - rozlišení provedeme použitím ACL s danou zdrojovou a cílovou adresou
• VLAN map jsou založené na IP Standard, Extended, Named ACL
• MAC VLAN map jsou založené na MAC Named Extended ACL
• samozřejmě můžeme kontrolovat pouze provoz, který prochází switchem, na kterém VLAN map nastavíme
• pokud VLAN map obsahuje nějakou match podmínku, tak výchozí akce je drop, pokud paket nevyhovuje žádné podmínce
• prázdná VLAN map forwarduje vše
• používá metodu First-match - seznam pravidel prochází v daném pořadí a při první shodě provede přiřazenou akci (a dále nepokračuje)
• není zde možnost logování
• uvnitř VLAN map používáme ACL k identifikaci provozu, který chceme blokovat nebo povolit, pro identifikaci slouží pouze klíčové slovo permit, deny akce se ignorují
• uvnitř VLAN map můžeme kombinovat IP ACL a MAC ACL, abychom filtrovali veškerý provoz
• můžeme používat dohromady Port ACL, Router ACL i VLAN map, ale Port ACL má největší prioritu, potom je Router ACL a teprve poslední VLAN map

Následující obrázek schematicky (z důvodu přehlednosti není vše úplně přesné, například zobrazení sféry VLAN a s tím související aplikace VLAN map na vstupu do VLANy) zobrazuje místa, kde se aplikují (uplatňují) různé typy ACL (s důrazem na VLAN map - VACL), při komunikaci mezi klienty v rámci jedné nebo dvou VLAN. Ve schématu je vidět i možnost kombinace VLAN map a Port ACL při komunikaci z Host A na Host C. A kombinace VLAN map, Router ACL a Port ACL při komunikaci z Host A na Host B. Není zde ale znázorněna preference jednotlivých ACL před jinými.

Situací, kdy je vhodné použít VLAN map, je celá řada. Jedná se ovšem o něco složitější aplikaci nežli běžné ACL, takže je třeba domyslet všechny důsledky.  Pokud chceme blokovat komunikaci v rámci subnetu, tak bychom mohli použít Port ACL, ale to bychom museli aplikovat na všechny porty, kdežto VLAN map aplikujeme globálně pro celou VLAN na switchi. Podobně, když chceme blokovat provoz mezi VLANami, tak můžeme použít Router ACL na centrálním L3 switchi/routeru, ale pak nám komunikace dojde z access switche na core a teprve tam se blokuje.

Na závěr ještě jedna úvaha. VLAN map se aplikuje na VLANu lokálně na daném switchi. Takže řídí provoz, který prochází tímto switchem. Pokud budeme mít druhý switch, kde VLAN map neaplikujeme, tak v rámci tohoto switche k žádnému omezení nedojde. Ale pokud na druhém switchi připojíme stanici A, na prvním (kde je VLAN map) stanici B. Potom, když stanice A chce komunikovat se stanicí B, provoz přichází přes trunk port a zde se uplatní VLAN map stejně jako na access portu (nenalezl jsem na internetu potvrzení této myšlenky, ale praktické odzkoušení to ukazuje).

Konfigurace VLAN map v Cisco IOSu

Obecný postup konfigurace:

1. vytvoříme standard IP, extended IP, named nebo named extended MAC ACL
2. vytvoříme VLAN map a vložíme akce
3. aplikujeme na VLANu

Konfigurace VLAN map spočívá v tom, že si nejprve připravíme běžné ACL (standard IP, extended IP, named IP nebo named extended MAC). Více v článku Cisco IOS 8 - Access Control List.

Potom vytvoříme VLAN map s vybraným jménem. Ta se může skládat z více sekvencí, které odlišujeme číslem. Provádí se pak sekvenčně od nižších čísel k vyšším.

SWITCH(config)#vlan access-map Provoz 10  // vytvoří VLAN map Provoz, sekvence 10

Ke každé sekvenci určujeme akci, která se má provést s pakety, které odpovídají ACL (pokud má sekvence alespoň jednu match klauzuli a paket ji neodpovídá, tak se provede zahození drop). Můžeme nastavit zahození drop nebo odeslání forward (to je výchozí akce, takže se nemusí použít).

SWITCH(config-access-map)#action drop  

Dále v sekvenci zadáváme jeden nebo více příkazů match. Buď spolu s klíčovým slovem ip address zadáme IP ACL nebo s mac address zadáme MAC ACL. Do jednoho příkazu můžeme zadat i více ACL oddělených mezerou.

SWITCH(config-access-map)#match ip address 10      // podle jakého IP ACL vybíráme provoz (zde ACL číslo 10)
SWITCH(config-access-map)#match mac address banka  // podle jakého MAC ACL vybíráme provoz (zde ACL jméno banka)

Na závěr aplikujeme VLAN map na určitou VLANu. Můžeme použít i rozsah VLAN pomocí pomlčky či vyjmenování VLAN oddělených čárkou.

SWITCH(config)#vlan filter Provoz vlan-list 100,200-205

Zobrazení informací o nakonfigurované VLAN map můžeme provést (klasicky) nahlédnutím do běžící konfigurace nebo máme k dispozici dva speciální show příkazy.

SWITCH#show vlan access-map // zobrazí VLAN map
SWITCH#show vlan filter     // zobrazí aplikaci VLAN map na VLAN

VLAN map příklad

Zde je uveden komplexnější (umělý) příklad, kde by mohly být patrnější možnosti konfigurace. Ve VLANě 800 je blokovaný ICMP provoz (ping apod.), ale veškerý ostatní provoz je povolen.

SWITCH(config)#ip access-list extended icmp-match
SWITCH(config-ext-nacl)#permit icmp any any
SWITCH(config-ext-nacl)#exit

SWITCH(config)#ip access-list extended match-all 
SWITCH(config-ext-nacl)#permit ip any any
SWITCH(config-ext-nacl)#exit

SWITCH(config)#vlan access-map drop-icmp 10 
SWITCH(config-access-map)#action drop 
SWITCH(config-access-map)#match ip address icmp-match
SWITCH(config-access-map)#exit

SWITCH(config)#vlan access-map drop-icmp 20 
SWITCH(config-access-map)#action forward
SWITCH(config-access-map)#match ip address match-all
SWITCH(config-access-map)#exit

SWITCH(config)# vlan filter drop-icmp vlan-list 800

SWITCH#show vlan access-map
Vlan access-map "drop-icmp"  10
  Match clauses:
    ip  address: icmp-match
  Action:
    drop
Vlan access-map "drop-icmp"  20
  Match clauses:
    ip  address: match-all
  Action:
    forward 

SWITCH#show vlan  filter
VLAN Map drop-icmp is filtering VLANs:
  800

Související články:

Cisco IOS

• Cisco IOS 1 - úvod, příkaz show [08.03.2007 13:00]
• Cisco IOS 2 - verze, upgrade a záloha IOSu [16.03.2007 14:28]
• Cisco IOS 3 - nastavení interface/portu - access, trunk, port security [09.04.2007 11:09]
• Cisco IOS 4 - reset, password recovery [25.04.2007 17:34]
• Cisco IOS 5 - komunikace se switchem [16.05.2007 16:15]
• Cisco IOS 6 - úvodní konfigurace switche [08.06.2007 17:31]
• Cisco IOS 7 - konfigurace VLAN, VTP [18.06.2007 14:12]
• Cisco IOS 8 - ACL - Access Control List [10.08.2007 15:40]
• Cisco IOS 9 - Spanning Tree Protocol [20.08.2007 17:55]
• Cisco IOS 10 - Rapid Spanning Tree Protocol [01.09.2007 14:11]
• Cisco IOS 11 - IEEE 802.1x, autentizace k portu, MS IAS [10.10.2007 14:38]
• Cisco IOS 12 - IEEE 802.1x a pokročilejší funkce [24.10.2007 16:42]
• Cisco IOS 13 - DHCP služby na switchi [06.01.2008 11:24]
• Cisco IOS 14 - tipy pro běžnou práci [29.02.2008 08:15]
• Cisco IOS 15 - zálohy a obnovy konfigurace a obrazů [13.03.2008 09:43]
• Cisco IOS 16 - HSRP - Hot Standby Routing Protocol [27.05.2008 16:05]
• Cisco IOS 17 - více switchů jako Stack - technologie StackWise [29.07.2008 20:27]
• Cisco IOS 18 - inter-VLAN routing a ACL - směrování mezi VLANy [24.12.2008 11:50]
• Cisco QoS 1 - úvod do Quality of Service a DiffServ [18.01.2009 13:31]
• Cisco QoS 2 - Classification and Marking, Modular QoS CLI [26.01.2009 17:21]
• Cisco QoS 3 - omezování rychlosti - Policing, Shaping [01.02.2009 12:20]
• Cisco QoS 4 - garance rychlosti - řazení do front - Queuing [08.02.2009 13:13]
• Cisco QoS 5 - QoS na switchi, MLS, SRR, Auto QoS [14.02.2009 14:55]
• Cisco QoS 6 - praktické příklady použití QoSu [28.02.2009 16:33]
• TCP/IP - Internet Protocol Version 6 - IPv6 [05.03.2009 15:41]
• TCP/IP - skupinové vysílání IP Multicast a Cisco [10.03.2009 20:05]
• Cisco Routing 1 - obecné vlastnosti směrovacích protokolů [20.03.2009 14:43]
• Cisco Routing 2 - EIGRP - Enhanced Interior Gateway Routing Protocol [29.03.2009 19:04]
• Cisco Routing 3 - OSPF - Open Shortest Path First [03.04.2009 10:54]
• Cisco Routing 4 - IS-IS - Intermediate System to Intermediate System [09.04.2009 08:48]
• Cisco IOS 19 - Private VLAN a Protected Port [20.05.2009 18:41]
• Cisco Routing 5 - BGP - Border Gateway Protocol [18.04.2009 13:50]
• Cisco Routing 6 - srovnání routovacích protokolů [28.04.2009 16:27]
• Cisco IOS 20 - VLAN access-map - VLAN map - VACL [29.05.2009 15:05] právě čtete
• Cisco IOS 21 - EtherChannel, Link Agregation, PAgP, LACP, NIC Teaming [08.06.2009 09:41]
• Běžné útoky na switche, Cisco Dynamic ARP Inspection [18.06.2009 10:15]
• Cisco - Router Switching metody a související termíny - CAM, FIB, CEF [28.06.2009 17:15]
• Cisco IOS 22 - monitoring/kontrola/zrcadlení provozu - SPAN a RSPAN [15.07.2009 11:52]
• Cisco IOS 23 - Autentizace uživatele na switchi vůči Active Directory [15.09.2009 17:09]
• Cisco QoS 7 - doplňující informace [05.11.2009 09:31]