Mô hình như sau:

Vigor3910 là router chính kết nối internet. gồm có lớp mạng 

  • Lớp 192.168.1.1/24 lớp mạng quản lý
  • Lớp 192.168.2.1/24 lớp mạng routing

VigorSwitch G2282x làm Switch trung tâm, nhận internet từ Vigor3910, sau đó chia hệ thống thành các nhóm với các lớp mạng như sau:

  • VLAN2- lớp LAN route 192.168.2.1/24
  • VLAN10 - Lớp 192.168.10.1/24, tắt DHCP, dành cho thiết bị đặt IP tĩnh như Server, Camera, máy in, …
  • VLAN20 - Lớp 192.168.20.1/24, dành cho nhân viên kết nối vào hệ thống
  • VLAN30 - Lớp 192.168.30.1/24, dành kết nối thiết bị phát Wi-Fi cho khách hàng
  • VLAN40 - Lớp 192.168.40.1/24, dành cho Ban giám Đốc

VigorSwitch G1280, chia VLAN đến từng phòng ban, thiết bị

Hướng dẫn cấu hình: https://www.anphat.vn/cac-mo-hinh-he-thong-mang-thong-dung/vigor3910-/-drayos-core-switch-g2282x-dhcp-server/routing-access-switch-g1280 

Yêu cầu thực hiện hiện giới hạn truy cập VLAN như sau:

  • TH1: chỉ Ban giám đốc được phép phép truy cập cập server. Ngoài ra, các nhóm còn lại chỉ truy cập được internet
  • TH2: Ban giám đốc và nhân viên truy cập được server nhưng không truy cập được lẫn nhau. Khách chỉ được phép truy cập internet
  • TH3: Ban giám đốc, nhân viên, server được phép truy cập lẫn nhau, khách chỉ truy cập internet

Thực hiện

Lưu ý: Các rule trong ACL sẽ được xét theo thứ tự từ trên xuống, thỏa sẽ không xét tiếp.

A. Trường hợp 1: quy định chỉ Ban giám đốc được phép truy cập server. Ngoài ra, các nhóm còn lại chỉ truy cập được internet

Cần tạo các rule sau:

  • Rule 1: Cho phép tất cả các lớp mạng nội bộ truy cập lớp lan route 192.168.2.1/24
  • Rule 2: Cho phép lan route truy cập tất cả các lớp còn lại
  • Rule 3: Cho phép lớp nhóm Ban giám đốc VLAN40, lớp mạng 192.168.40.1/24 truy cập lớp server VLAN10, lớp mạng 192.168.10.1/24
  • Rule 4: Cho phép lớp nhóm server VLAN10, lớp mạng 192.168.10.1/24 truy cập lớp Bán giám đốc VLAN40, lớp mạng 192.168.40.1/24
  • Rule 5: Cho phép lớp nhóm server VLAN10, lớp mạng 192.168.10.1/24 truy cập lẫn nhau
  • Rule 6: Cho phép lớp nhóm Nhân Viên VLAN20, lớp mạng 192.168.20.1/24 truy cập lẫn nhau
  • Rule 7: Cho phép lớp nhóm Khách VLAN30, lớp mạng 192.168.30.1/24 truy cập lẫn nhau
  • Rule 8: Cho phép lớp BGD VLAN40, lớp mạng 192.168.40.1/24 truy cập lẫn nhau
  • Rule 9: chặn tất cả các lớp mạng nội bộ truy cập lẫn nhau
  • Rule 10: cho phép truy cập internet (Pass all tất cả các dịch vụ còn lại)

Vào Security >> Access Control List, Tại Tab Access Control list nhấn +Add Access Control list tạo nhóm ACL, (trong trường hợp có nhiều nhóm khác nhau, mỗi nhóm cho từng port tương ứng thì cần tạo ra nhiều nhóm ACL)

  • List Name: Đặt tên danh sách
  • List Type: chọn IPv4

Trong lần tạo ACL danh sách đầu tiên, thiết bị sẽ yêu cầu tạo rule, ở đây ta cho sẵn cuối mặc định cho ACL list với Sequence 1000 Permit tất cả các dịch vụ. (Chính là rule 10, pass all Internet)

  • Sequence: chọn số thứ tự danh sách ( ví dụ 1000)
  • Action: chọn Permit
  • Nhấn OK

  1. Tạo các rule cần thiết còn lại 

Security >> Access Control List, Tại Tab Access Control list chọn ACL đã tạo nhấn +Add Rule

     Rule 1: Cho phép tất cả các lớp mạng nội bộ truy cập lớp lan route 192.168.2.1/24

  • Sequence: Chọn một số (ví dụ: “1”, Trong trường hợp có nhiều rule thì mỗi rule phải khác thông số “Sequence”)
  • Action: chọn Permit
  • Source IP            
    • Chọn Any để quy định rule cho tất cả các lớp nội bộ
  • Destination IP                            
    • Bỏ chọn Any để điền lớp mạng cố định
    • Điền lớp mạng cho phép truy cập đến (192.168.2.1/ 255.255.255.0)
  • Nhấn “Add

      Rule 2: Cho phép lan route 192.168.2.1/24 truy cập tất cả các lớp còn lại, thực hiện tương tự rule 1

      Rule 3: Cho phép lớp nhóm Ban giám đốc VLAN40, lớp mạng 192.168.40.1/24 truy cập lớp server VLAN10, lớp mạng 192.168.10.1/24

      Rule 4: Cho phép lớp nhóm server VLAN10, lớp mạng 192.168.10.1/24 truy cập lớp Bán giám đốc VLAN40, lớp mạng 192.168.40.1/24

Rule 5: Cho phép lớp nhóm server VLAN10, lớp mạng 192.168.10.1/24 truy cập lẫn nhau

Rule 6, Cho phép lớp nhóm NhanVien VLAN20, lớp mạng 192.168.20.1/24 truy cập lẫn nhau 

Rule 7, Cho phép lớp nhóm Khach VLAN30, lớp mạng 192.168.30.1/24 truy cập lẫn nhau

Rule 8, Cho phép lớp nhóm BGD VLAN40, lớp mạng 192.168.40.1/24 truy cập lẫn nhau

   

  Rule 9: chặn tất cả các lớp mạng nội bộ truy cập lẫn nhau (các lớp mạng nội bộ được gom lại thành lớp mạng có subnet mask lớn hơn để việc tạo rule trở nên đơn giản)

  • ACL Profile Name: Chọn ACL đã tạo trước đó
  • Sequence: Chọn thứ tự xét rul (5)
  • Action: chọn Deny
  • Source IP            
    • ​Bỏ chọn Any để điền lớp mạng nội bộ
    • Điền lớp mạng chung của các lớp mạng nội bộ (192.168.0.1/16)
  • Destination IP                            
    • Bỏ chọn Any để điền lớp mạng cố định
    • Điền lớp mạng chung của các lớp mạng nội bộ (192.168.0.1/16
  • nhấn Add

    

Sau khi đã tạo xong, ta có danh sách các rule như sau:

3. Gán ACL đã tạo vào port cần áp dụng

Security >> Access Control List, Tại tab Apply to Port, chọn các port cần áp dụng (hoặc chọn Port cho tất cả) >> nhấn Batch Edit

  • IPv4 Acclist: chọn ACL vừa tạo
  • Nhấn Apply     

 

B. Trường Hợp 2: Ban giám đốc và nhân viên truy cập được server nhưng không truy cập được lẫn nhau. Khách chỉ được phép truy cập internet

Cần tạo các rule sau:

  • Rule 1: block khách truy cập server
  • Rule 2: block khách truy cập Nhân viên
  • Rule 3: block khách truy cập Ban Giám Đốc
  • Rule 4: Block nhân viên truy cập Ban giám đốc
  • Rule 5: cho phép truy cập internet (Pass all tất cả các dịch vụ còn lại)

Thực hiện:

  1. Tạo ACL

Vào Security >> Access Control List, Tại Tab Access Control list nhấn +Add Access Control list tạo nhóm ACL, (trong trường hợp có nhiều nhóm khác nhau, mỗi nhóm cho từng port tương ứng thì cần tạo ra nhiều nhóm ACL)

  • List Name: Đặt tên danh sách
  • List Type: chọn IPv4

Trong lần tạo ACL danh sách đầu tiên, thiết bị sẽ yêu cầu tạo rule, ở đây ta cho sẵn cuối mặc định cho ACL list với Sequence 1000 Permit tất cả các dịch vụ. (Chính là rule 5, pass all Internet)

  • Sequence: chọn số thứ tự danh sách ( ví dụ 1000)
  • Action: chọn Permit
  • Nhấn OK

  1. Tạo các rule cần thiết còn lại 

Security >> Access Control List, Tại Tab Access Control list chọn ACL đã tạo nhấn +Add Rule

     Rule 1: block khách truy cập server (block 192.168.30.1/24 truy cập 192.168.10.1/24)

  • ACL Profile Name: chọn tên ACL
  • Sequence: Chọn thứ tự xét rule (Ví dụ chọn Sequence là 1 cho rule 1)
  • Action: chọn Deny
  • Source IP:
    • Bỏ chọn Any
    • Điền lớp mạng cần tạo rule (ví dụ lớp mạng khách 192.168.30.1/24)
  • Destination IP:
    • Bỏ chọn Any
    • Điền lớp mạng bị cấm truy cập đến (ví dụ lớp mạng server 192.168.10.1/24)
  • Nhấn Add


 

       Rule 2: block khách truy cập Nhân viên (block 192.168.30.1/24 truy cập 192.168.20.1/24) thực hiện tương tự rule 1

       Rule 3: block khách truy cập Ban giám đốc (block 192.168.30.1/24 truy cập 192.168.40.1/24) thực hiện tương tự rule 1

       Rule 4: Nhân viên khách truy cập Ban giám đốc (block 192.168.20.1/24 truy cập 192.168.40.1/24) thực hiện tương tự rule 1

 

Sau khi đã tạo xong, ta có danh sách các rule như sau:

             3.Gán ACL đã tạo vào port cần áp dụng

Security >> Access Control List, Tại tab Apply to Port, chọn các port cần áp dụng (hoặc chọn Port cho tất cả) >> nhấn Batch Edit

  • IPv4 Acclist: chọn ACL vừa tạo
  • Nhấn Apply     

 

 

C. Trường Hợp 3: Ban giám đốc, nhân viên, server được phép truy cập lẫn nhau, khách chỉ truy cập internet

Cần tạo các rule sau

  • Rule 1: block khách truy cập server
  • Rule 2: block khách truy cập Nhân viên
  • Rule 3: block khách truy cập Ban Giám Đốc
  • Rule 4: cho phép truy cập internet (Pass all tất cả các dịch vụ còn lại)

Thực hiện:

Thực hiện:

  1. Tạo ACL

Vào Security >> Access Control List, Tại Tab Access Control list nhấn +Add Access Control list tạo nhóm ACL, (trong trường hợp có nhiều nhóm khác nhau, mỗi nhóm cho từng port tương ứng thì cần tạo ra nhiều nhóm ACL)

  • List Name: Đặt tên danh sách
  • List Type: chọn IPv4

Trong lần tạo ACL danh sách đầu tiên, thiết bị sẽ yêu cầu tạo rule, ở đây ta cho sẵn cuối mặc định cho ACL list với Sequence 1000 Permit tất cả các dịch vụ. (Chính là rule 5, pass all Internet)

  • Sequence: chọn số thứ tự danh sách ( ví dụ 1000)
  • Action: chọn Permit
  • Nhấn OK

  1. Tạo các rule cần thiết còn lại 

Security >> Access Control List, Tại Tab Access Control list chọn ACL đã tạo nhấn +Add Rule

     Rule 1: block khách truy cập server (block 192.168.30.1/24 truy cập 192.168.10.1/24)

  • ACL Profile Name: chọn tên ACL
  • Sequence: Chọn thứ tự xét rule (Ví dụ chọn Sequence là 1 cho rule 1)
  • Action: chọn Deny
  • Source IP:
    • Bỏ chọn Any
    • Điền lớp mạng cần tạo rule (ví dụ lớp mạng khách 192.168.30.1/24)
  • Destination IP:
    • Bỏ chọn Any
    • Điền lớp mạng bị cấm truy cập đến (ví dụ lớp mạng server 192.168.10.1/24)
  • Nhấn Add


       Rule 2: block khách truy cập Nhân viên (block 192.168.30.1/24 truy cập 192.168.20.1/24) thực hiện tương tự rule 1

       Rule 3: block khách truy cập Ban giám đốc (block 192.168.30.1/24 truy cập 192.168.40.1/24) thực hiện tương tự rule 1

 

Sau khi đã tạo xong, ta có danh sách các rule như sau:

             

      3. Gán ACL đã tạo vào port cần áp dụng

Security >> Access Control List, Tại tab Apply to Port, chọn các port cần áp dụng (hoặc chọn Port cho tất cả) >> nhấn Batch Edit

  • IPv4 Acclist: chọn ACL vừa tạo
  • Nhấn Apply