Cara Konfigurasi VACL (VLAN Access Control List )
Ketemu lagi di Lab VLAN Access Control List (VACL), kali ini saya menulis bagamaina memblok traffic di network VLAN. Ceritanay kbegini, satu projek network terdapat beberapa segmentasi network ( VLAN ).
VLAN 10 ==> 192.168.10.0/24 => Production 1
VLAN 20 ==> 192.168.20.0/24 => Production 2
VLAN 30 ==> 192.168.20.0/24 => Server
Lalu kita diminta untuk melakukan bebebrapa aturan, yaitu:
- host ip 192.168.10.2 trafiknya deny menuju network 192.168.30.0/24
- host ip 192.168.20.2 trafiknya deny menuju ip 192.168.30.10
- host ip 192.168.10.5 trafiknya deny menuju ip 192.168.10.6
- Untuk lab ini saya sendiri menggunakan real device (switch C3750), karena ada beberapa case, misal ada beberapa command tidak nemu di simulator seperti Packet Tracer atau GNS3.
- Topologi yang saya pakai percis seperti gambar topologi diatas.
Saya langsung saja pada konfigurasinya:
Case 1: Memblok trafic dari ip 192.168.10.2 ke network 192.168.30.0/24
vlan access-map rule-vlan30 10
action drop
match ip address 10
exi
vlan access-map rule-vlan30 20
action forward
match ip address 20
exi
vlan filter rule-vlan30 vlan-list 30
Case 2: Memblok trafic dari ip 192.168.20.2 ke ip 192.168.30.10
access-list 100 deny ip host 192.168.20.2 host 192.168.30.10
access-list 100 permit ip any any
exi
interface ra FastEthernet0/3 - 4
ip access-group 100 in
Case 1: Memblok trafic dari ip 192.168.10.2 ke network 192.168.30.0/24
vlan access-map rule-vlan30 10
action drop
match ip address 10
exi
vlan access-map rule-vlan30 20
action forward
match ip address 20
exi
vlan filter rule-vlan30 vlan-list 30
Case 2: Memblok trafic dari ip 192.168.20.2 ke ip 192.168.30.10
access-list 100 deny ip host 192.168.20.2 host 192.168.30.10
access-list 100 permit ip any any
exi
interface ra FastEthernet0/3 - 4
ip access-group 100 in
Lalu tambahkan perintah ini
access-list 10 permit 192.168.10.2
Lakukan pengujian buat nge-test, apakah ip 192.168.10.2 sudah tidak bisa ping ke ip network 192.168.30.0/24
....lalu tambahkan perintah ini..
Lakukan pengujian buat nge-test, apakah ip 192.168.30.2 sudah tidak bisa ping ke ip 192.168.30.10
Case 3: Memblok trafic dari ip 192.168.10.5 ke ip 192.168.10.6
access-list 101 deny ip host 192.168.10.5 host 192.168.10.6
access-list 101 permit ip any any
lalu tambahkan perintah ini
interface range FastEthernet0/1 - 2
ip access-group 101 in
ip access-group 101 in
Lakukan test, apakah IP 192.168.10.5 sudah tidak bisa ping ke ip 192.168.10.6 ? Untuk switch MLS2 lakukan hal yang sama untuk perintah case 2 dan case3. Cukup disini untuk VACL, cara meblok trafik di network vlan atau sesama host dalam satu vlan. Jika mau kembangkan tinggal menyesuaikan saja.:) on demand of project.
Success...!!!
Posting Komentar untuk "Cara Konfigurasi VACL (VLAN Access Control List )"