เมื่อพูดถึงการ ทำ ACL (Access Control Lists) สิ่งแรกที่ เพื่อนๆชาว Network มักนึกถึงคือ Firewall ซึ่งเป็นตัวช่วยสำคัญในการควบคุมการเข้าถึงเครือข่ายและป้องกันการบุกรุก แต่ถ้าองค์กรของเพื่อนๆ ไม่มี Firewall หรือ interface vlan (Gateway) อยู่บน Core Switch หล่ะ เพื่อนๆคงไม่อยากย้าย Interface vlan ขึ้นมาบน Firewall เพื่อทำ Policy ให้เหนื่อยเปล่าๆ ใช่ไหมครับ
โดย Switch ของ Cisco ได้มี Function ในการทำ ACL (Access Control List) ซึ่งเป็น Feature ที่สำคัญ ในการ Control Access ต่างๆ ของเครื่อง Client โดยสามารถ Block ไม่ให้ VLAN คุยกันได้เมื่อไม่จำเป็นครับ
เพื่อนๆ สามารถทำตามได้ง่ายๆ เป็น Step-by-Step ได้ ตามนี้เลยครับผม
แนะนำ Scenario
โดยจะยกตัวอย่างดังนี้ครับ บน Core Switch มี interface vlan 10 และ interface vlan 20 โดยโจทย์คือ ไม่ต้องการให้ Client VLAN10 (PC1) สามารถ สื่อสารกับ VLAN 20 (PC2) ได้
Step ในการ Configure
1.) ประกาศ ACL (Access Control Lists)
2.) นำ ACL ที่ประกาศ ไป Apply กับ Interface VLAN นั้นๆ
1.) ประกาศ ACL (Access Control Lists)
บน Core Switch จะมีการสร้าง Access List อยู่ 2 ACLs ครับ
1.1) BLOCK-VLAN10-To-VLAN20 (permit ip any any ต้องใส่ด้วยนะครับ)
L3-SW(config)#ip access-list extended BLOCK-VLAN10-To-VLAN20 L3-SW(config-ext-nacl)#deny ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 L3-SW(config-ext-nacl)#permit ip any any
1.2) BLOCK-VLAN20-To-VLAN10 (permit ip any any ต้องใส่ด้วยนะครับ)
L3-SW(config)#ip access-list extended BLOCK-VLAN20-To-VLAN10 L3-SW(config-ext-nacl)#deny ip 10.10.20.0 0.0.0.255 10.10.10.0 0.0.0.255 L3-SW(config-ext-nacl)#permit ip any any
1.3) ทำการ Verify ว่า access ได้ทำการ Configure ถูกต้องแล้ว
L3-SW#show ip access-lists Extended IP access list BLOCK-VLAN10-To-VLAN20 10 deny ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 20 permit ip any any Extended IP access list BLOCK-VLAN20-To-VLAN10 10 deny ip 10.10.20.0 0.0.0.255 10.10.10.0 0.0.0.255 20 permit ip any any
2.) นำ ACL ที่ประกาศ ไป Apply กับ Interface VLAN นั้นๆ
2.1) นำ BLOCK-VLAN10-To-VLAN20 ไป Apply บน Interface VLAN 10
L3-SW(config)#int vlan 10 L3-SW(config-if)# ip access-group BLOCK-VLAN10-To-VLAN20 in
2.2) นำ BLOCK-VLAN20-To-VLAN10 ไป Apply บน Interface VLAN 20
L3-SW(config)#int vlan 20 L3-SW(config-if)# ip access-group BLOCK-VLAN20-To-VLAN10 in
2.3) Verify ว่า ACL ถูก Apply บน interface vlan แล้ว
L3-SW#sh run Building configuration... Current configuration : 1974 bytes ! ! Last configuration change at 15:59:19 UTC Thu Nov 14 2024 ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption service compress-config ! hostname L3-SW ! interface Vlan10 ip address 10.10.10.1 255.255.255.0 ip access-group BLOCK-VLAN10-To-VLAN20 in no ip route-cache ! interface Vlan20 ip address 10.10.20.1 255.255.255.0 ip access-group BLOCK-VLAN20-To-VLAN10 in no ip route-cache ! ip access-list extended BLOCK-VLAN10-To-VLAN20 deny ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255 permit ip any any ip access-list extended BLOCK-VLAN20-To-VLAN10 deny ip 10.10.20.0 0.0.0.255 10.10.10.0 0.0.0.255 permit ip any any ! end
ทดสอบ Ping จาก PC1 –> PC2
จะเห็นว่า ไม่สามารถ Ping ไปได้ เนื่องจากถูก prohibited จาก admin
เมื่อเรา lookup ไปดูใน Packet จาก Wireshark จะเห็นผลลัพธ์ว่า ไม่สามารถ Ping ได้ เนื่องจากถูก ACL ไว้นั่นเอง
Note: จากตัวอย่างที่ผมทำ เป็นการ Block Any L3 Communication (เช่น ICMP udp tcp ครับ) หากท่านใดอยากจะนำไปประยุกต์ สามารถเลือกได้ ตามดังนี้เลยครับ เช่น ให้ block เฉพาะ Ping หรือ telnet (tcp23) อะไรประมาณนี้ครับ และสามารถเลือกให้ block เป็น Hosts ได้นะครับ
จบไปแล้วนะครับสำหรับบทความ หวังว่าจะนำไปสามารถประยุกต์กับงานของเพื่อนๆได้นะครับ ขอบคุณครับผม
#CCNA #ACLs #Ablenet