ข้อความเท่านั้น | ข้อความพร้อมรูปภาพ

Sysnet Board คู่มือ การใช้งานอุปกรณ์ Network

การ Config อุปกรณ์ เครือข่าย Network Device => อุปกรณ์ Ruijie / Reyee (รุยเจี๋ย / รียี้) => หัวข้อที่ตั้งโดย: yod เมื่อ วันที่ 14 พฤษภาคม 2021, 15:29:38

ชื่อ: คู่มือการ Config Standard ACL ในอุปกรณ์ Ruijie Gateway EG Series
โดย: yod เมื่อ วันที่ 14 พฤษภาคม 2021, 15:29:38
คู่มือการ Config Standard ACL ในอุปกรณ์ Ruijie Gateway EG Series

(https://sysnetcenter.com/board/images/ruijie-eg-gateway-standard-acl/ruijie-eg-gateway-standard-acl-001.jpg)

จากรูป ทำ Inter-VLAN ใน Ruijie Gateway EG3230 (https://sysnetcenter.com/ruijie-gateway) สร้าง Sub-Interface บน Interface Aggregate 1 (ตอนผมทำ Lab สร้าง Link Aggregate ไว้ครับ)


Ag1.10; VLAN 10: 10.0.10.1/24
Ag1.20; VLAN 20: 10.0.20.1/24
Ag1.30; VLAN 30: 10.0.30.1/24



Inter-VLAN บน Router หรือเรียกกันว่า Route-on-stick แต่ละ Network ที่สร้างจะ Connected Route หากันโดยอัตโนมัติ


เครื่อง PC ผมอยู่ใน Network 10.0.20.0


(https://sysnetcenter.com/board/images/ruijie-eg-gateway-standard-acl/ruijie-eg-gateway-standard-acl-002.jpg)


จะ Ping ไปหา PC อีกเครื่องที่อยู่ใน Network 10.0.10.0 ได้ปกติ


(https://sysnetcenter.com/board/images/ruijie-eg-gateway-standard-acl/ruijie-eg-gateway-standard-acl-003.jpg)


ถ้ารู้ User/Password ก็เข้าได้เลย


(https://sysnetcenter.com/board/images/ruijie-eg-gateway-standard-acl/ruijie-eg-gateway-standard-acl-010.jpg)


ทีนี้ ถ้าต้องการ Block บาง Network ไม่ให้มองเห็นกัน ประมาณว่า ไม่ต้องการให้ VLAN 20 เชื่อมต่อไปยัง VLAN 10 ได้ อาจจะเป็นเหตุผลเรื่อง Security

เราจะใช้การทำ ACL (Access Control List) เพื่อ Block ไม่ให้ Traffic ของ VLAN 20 วิ่งไปที่ VLAN 10 ได้ครับ


การทำ ACL จะมี 2 แบบ

Standard ACL: จะระบุ Source Address ได้อย่างเดียว และ ระบุว่าจะ ให้/ไม่ให้, เข้า/ออก Interface ไหนบ้าง
Extended ACL: จะระบุ Source/Destination Address รวมถึง Src/Destination Port  และ ระบุว่าจะ ให้/ไม่ให้, เข้า/ออก Interface ไหนบ้าง


ถ้าต้องการ Block Traffic ทั้งหมดจาก VLAN 20 ไม่ให้ไปที่ VLAN 10 ก็ใช้ Standard ACL เลยครับ ง่ายดี



(https://sysnetcenter.com/board/images/ruijie-eg-gateway-standard-acl/ruijie-eg-gateway-standard-acl.jpg)


จากรูป Source Address จะเป็น 10.0.20.0/24 ไม่ต้องการให้เชื่อมต่อ 10.0.10.0/24 ได้ เราก็ Block ที่ขา Out ของ Interface Ag1.10


1. Login เข้า Ruijie EG-Gateway
Menu Security --> ACL --> Add ACL

ACL Type: Standard ACL
ACL: 2 (ได้ 2-100 เพราะ 1 เป็น Default อยู่แล้ว)


(https://sysnetcenter.com/board/images/ruijie-eg-gateway-standard-acl/ruijie-eg-gateway-standard-acl-004.jpg)


แล้วทำการ Add ACE (Access Control Entry)


Access Control: Deny
Time Period: All Time
IP&Mask: 10.0.20.0/255.255.255.0


(https://sysnetcenter.com/board/images/ruijie-eg-gateway-standard-acl/ruijie-eg-gateway-standard-acl-005.jpg)


ใน ACE มันจะมีกฏสุดท้ายที่เป็น Deny All ให้ Add Permit เพิ่มเข้าไปด้วยครับ


(https://sysnetcenter.com/board/images/ruijie-eg-gateway-standard-acl/ruijie-eg-gateway-standard-acl-006.jpg)



2. นำ ACL ที่สร้างไปใส่ใน Interface ที่กำหนด


Menu Security --> Interface Access Control -- Add

ACL: 2
Interface Ag1.10
Filter Direction: Outbound


(https://sysnetcenter.com/board/images/ruijie-eg-gateway-standard-acl/ruijie-eg-gateway-standard-acl-007.jpg)



ทดสอบ

10.0.20.101 ไม่สามารถ Ping ไปที่ 10.0.10.101


(https://sysnetcenter.com/board/images/ruijie-eg-gateway-standard-acl/ruijie-eg-gateway-standard-acl-008.jpg)


พยายาม Access ก็ไม่ได้


(https://sysnetcenter.com/board/images/ruijie-eg-gateway-standard-acl/ruijie-eg-gateway-standard-acl-011.jpg)


แต่ Ping ไปวงอื่นได้ปกติ


(https://sysnetcenter.com/board/images/ruijie-eg-gateway-standard-acl/ruijie-eg-gateway-standard-acl-009.jpg)


เดี๋ยวว่างๆจะทำคู่มือในส่วน Extended ACL อีกทีครับ 8)



ข้อความเท่านั้น | ข้อความพร้อมรูปภาพ