Architettura Laboratorio
Il laboratorio è stato realizzato con gli stessi dispositivi del laboratorio utilizzato per le PVLAN: Switch Cisco 4507 connesso ad un Firewall Juniper SSG5 che funge da default gateway.
Configurazione VLAN
VLAN 400 VLAN di test
Porte 4/1: Firewall 0/0 (default gateway) 10.10.10.1
Port 4/2: Server1 (10.10.10.2/24 – GW: 10.10.10.1)
Port 4/3: Server 2 (10.10.10.3/24 - GW: 10.10.10.1)
Port 4/4: Server3 (10.10.10.4/24 – GW: 10.10.10.1)
Passi per la configurazione:
La configurazione prevede la creazione di due access-list, una a livello di mac address (opzionale) ed una per regolare il traffico IP.
Le access-list vengono poi associate ad una vlan map, che viene applicata ad una VLAN.
MAC-ACL
Mac access-list extended mac-acl-400
Permit host 0017.cbe1.10c0 any
Permit any host 0017.cbe1.10c0
L’access list creata consente a tutti gli host di contattare il default gateway.
IP ACL
Access-list 101 permit ip any host 172.26.6.91
Access-list 101 permit ip host 172.26.6.91 any
!---- Host abilitati tra loro es:
access-list 101 permit ip host 172.26.6.90 host 172.26.100.37
access-list 101 permit ip host 172.26.100.37 host 172.26.6.90
!---
Access-list 101 deny ip 172.26.0.0 0.0.255.255 172.26.0.0 0.0.255.255
Access-list 101 permit ip any any
Creazione VLAN 400 e access-map
VLAN 400
Name test test-mac-acl
Nota: opzionale filtro per MAC
Vlan access-map Map-vlan-400 10
Action forward
Match mac addresses mac-acl-400
Vlan access-map map-vlan-400 20
Action forward
Match ip addresses 101
Vlan access-map Map-vlan-400 30
Action drop
Applicazione VLAN filter
Vlan filter map-vlan-400 vlan-list 400
Configurazione Extended ACL
La creazione di una extended ACL consente di gestire in modo più comodo le varie regole, oltre che a determinare per IP e per porta:
Ip Access-list extended DMZ-FILTER
Permit ip host 172.26.6.91 any
Permit ip any host 172.26.6.91
Vlan access-map map-vlan-400 20
Match ip addresses DMZ-FILTER
Action forward
Note:
Dalle configurazioni realizzate risulta molto più semplice ed efficiente utilizzare le VLAN ACL rispetto alle private VLAN, in quanto non implicano modifiche alla struttura attuale, sono relativamente semplici da implementare ed offrono una buona flessibilità.