VLAN Access-List (VACL)

💡 VLAN Access-list 실습 

📌 VACL

▣ 동일한 브로드캐스트 영역의 트래픽을 ACL 규칙에 의해 확인하고 필터링해주는 기능

🚩 목표

• VACL를 IP 주소로 적용해보고, MAC 주소로 적용해본다.
• 1.1.1.1 PC에서 모든 통신은 이루어지지않게 제한하고, 나머지 PC끼리는 통신이 가능하게 한다.

⌨️ 풀이

• IP 주소 VACL 적용
  • 각 PC에 IP 주소를 입력시켜주고, [Switch]에서 vlan 10의 가상랜을 하나 만들어서 'interface range g0/0-2' 범위의 인터페이스 vlan 10을 정의해준다.
  • 주어진 목표에 맞게 설정하기 위해 'access-list 100 permit ip any host 1.1.1.1'로 조건을 설정해준다.
  • 조건을 'vlan access-map cisco 10'을 입력해서 access-map을 생성하고 설정한 조건에 해당하는 조건인지 아닌지 'match ip address 100'을 입력해서 매치여부를 확인시켜준다.
    'action drop'을 입력하게 되면 해당 조건에 일치할 경우, 동작을 수행하지않게 된다.
  • 'vlan access-map cisco 20'을 입력해서 나머지 조건으로 설정한 조건에 해당되지 않는다면, 'action forward'로 동작을 계속 수행할 수 있게 적용한다.
  • 이렇게 설정한 vacl를 'vlan filter cisco vlan-list 10'을 입력해서 vlan 10 영역에 적용시켜줄 수 있다.
• MAC 주소 VACL 적용
  • PC에서 'ifconfig'를 입력해서 MAC 주소를 알아낸다. MAC 주소 적용에서는 [Switch]에서 vlan 10을 생성만 하고 주소는 안넣어줘도 상관없다.
  • 조건을 설정하기 위해서 'mac access-list extended mac1'으로 mac으로 지정하겠다라는 것을 알려주고, 'permit host [mac 주소-1] any'로 조건을 설정해준다.
  • 그 다음은 IP 주소에서 적용했던 것과 동일하게 적용해주면 된다.
• 결과적으로,
  1.1.1.1에서 나머지 pc로 ping을 보내면, 신호는 보내지지만 돌아오는 신호가 없어서 ping이 동작하지 않을 것이다.
  나머지 pc에서 1.1.1.1로 ping을 보내면, 신호조차 도달하지 않는다.
  나머지 pc들끼리는 정상적으로 ping을 주고 받을 수 있는 것을 확인해 볼 수 있다.