Welcome to Sysnet Board คู่มือ การใช้งานอุปกรณ์ Network. Please log in or sign up.
สมาชิกทั้งหมด
17,949
กระทู้ทั้งหมด
9,945
หัวข้อทั้งหมด
4,633

  • คู่มือการ Config Standard ACL ในอุปกรณ์ Ruijie Gateway EG Series
    เริ่มโดย yod
    Read 4,849 times
0 สมาชิก และ 1 ผู้มาเยือน กำลังดูหัวข้อนี้
yod
คู่มือการ Config Standard ACL ในอุปกรณ์ Ruijie Gateway EG Series



จากรูป ทำ Inter-VLAN ใน Ruijie Gateway EG3230 สร้าง Sub-Interface บน Interface Aggregate 1 (ตอนผมทำ Lab สร้าง Link Aggregate ไว้ครับ)


Ag1.10; VLAN 10: 10.0.10.1/24
Ag1.20; VLAN 20: 10.0.20.1/24
Ag1.30; VLAN 30: 10.0.30.1/24



Inter-VLAN บน Router หรือเรียกกันว่า Route-on-stick แต่ละ Network ที่สร้างจะ Connected Route หากันโดยอัตโนมัติ


เครื่อง PC ผมอยู่ใน Network 10.0.20.0





จะ Ping ไปหา PC อีกเครื่องที่อยู่ใน Network 10.0.10.0 ได้ปกติ





ถ้ารู้ User/Password ก็เข้าได้เลย





ทีนี้ ถ้าต้องการ Block บาง Network ไม่ให้มองเห็นกัน ประมาณว่า ไม่ต้องการให้ VLAN 20 เชื่อมต่อไปยัง VLAN 10 ได้ อาจจะเป็นเหตุผลเรื่อง Security

เราจะใช้การทำ ACL (Access Control List) เพื่อ Block ไม่ให้ Traffic ของ VLAN 20 วิ่งไปที่ VLAN 10 ได้ครับ


การทำ ACL จะมี 2 แบบ

Standard ACL: จะระบุ Source Address ได้อย่างเดียว และ ระบุว่าจะ ให้/ไม่ให้, เข้า/ออก Interface ไหนบ้าง
Extended ACL: จะระบุ Source/Destination Address รวมถึง Src/Destination Port  และ ระบุว่าจะ ให้/ไม่ให้, เข้า/ออก Interface ไหนบ้าง


ถ้าต้องการ Block Traffic ทั้งหมดจาก VLAN 20 ไม่ให้ไปที่ VLAN 10 ก็ใช้ Standard ACL เลยครับ ง่ายดี






จากรูป Source Address จะเป็น 10.0.20.0/24 ไม่ต้องการให้เชื่อมต่อ 10.0.10.0/24 ได้ เราก็ Block ที่ขา Out ของ Interface Ag1.10


1. Login เข้า Ruijie EG-Gateway
Menu Security --> ACL --> Add ACL

ACL Type: Standard ACL
ACL: 2 (ได้ 2-100 เพราะ 1 เป็น Default อยู่แล้ว)





แล้วทำการ Add ACE (Access Control Entry)


Access Control: Deny
Time Period: All Time
IP&Mask: 10.0.20.0/255.255.255.0





ใน ACE มันจะมีกฏสุดท้ายที่เป็น Deny All ให้ Add Permit เพิ่มเข้าไปด้วยครับ






2. นำ ACL ที่สร้างไปใส่ใน Interface ที่กำหนด


Menu Security --> Interface Access Control -- Add

ACL: 2
Interface Ag1.10
Filter Direction: Outbound






ทดสอบ

10.0.20.101 ไม่สามารถ Ping ไปที่ 10.0.10.101





พยายาม Access ก็ไม่ได้





แต่ Ping ไปวงอื่นได้ปกติ





เดี๋ยวว่างๆจะทำคู่มือในส่วน Extended ACL อีกทีครับ 8)