Mô hình như sau:

Vigor3910 là router chính kết nối internet. gồm có lớp mạng 

  • Lớp 192.168.1.1/24 lớp mạng quản lý
  • Lớp 192.168.2.1/24 lớp mạng routing

VigorSwitch G2280x làm Switch trung tâm, nhận internet từ Vigor3910, sau đó chia hệ thống thành các nhóm với các lớp mạng như sau:

  • VLAN2- lớp LAN route 192.168.2.1/24
  • VLAN10 - Lớp 192.168.10.1/24, tắt DHCP, dành cho thiết bị đặt IP tĩnh như Server, Camera, máy in, …
  • VLAN20 - Lớp 192.168.20.1/24, dành cho nhân viên kết nối vào hệ thống
  • VLAN30 - Lớp 192.168.30.1/24, dành kết nối thiết bị phát Wi-Fi cho khách hàng
  • VLAN40 - Lớp 192.168.40.1/24, dành cho Ban giám Đốc

VigorSwitch G1280, chia VLAN đến từng phòng ban, thiết bị

Hướng dẫn cấu hình: https://www.anphat.vn/cac-mo-hinh-he-thong-thong-dung/mo-hinh-ket-hop-vigor3910-switch-g2280x-g1280-cap-internet-cho-he-thong

Yêu cầu thực hiện hiện giới hạn truy cập VLAN như sau:

  • TH1: chỉ Ban giám đốc được phép phép truy cập cập server. Ngoài ra, các nhóm còn lại chỉ truy cập được internet
  • TH2: Ban giám đốc và nhân viên truy cập được server nhưng không truy cập được lẫn nhau. Khách chỉ được phép truy cập internet
  • TH3: Ban giám đốc, nhân viên, server được phép truy cập lẫn nhau, khách chỉ truy cập internet

Thực hiện

Lưu ý: Các rule trong ACL sẽ được xét theo thứ tự từ trên xuống, thỏa sẽ không xét tiếp.

A. Trường hợp 1: quy định chỉ Ban giám đốc được phép truy cập server. Ngoài ra, các nhóm còn lại chỉ truy cập được internet

Cần tạo các rule sau:

  • Rule 1: Cho phép tất cả các lớp mạng nội bộ truy cập lớp lan route 192.168.2.1/24
  • Rule 2: Cho phép lan route truy cập tất cả các lớp còn lại
  • Rule 3: Cho phép lớp nhóm Ban giám đốc VLAN40, lớp mạng 192.168.40.1/24 truy cập lớp server VLAN10, lớp mạng 192.168.10.1/24
  • Rule 4: Cho phép lớp nhóm server VLAN10, lớp mạng 192.168.10.1/24 truy cập lớp Bán giám đốc VLAN40, lớp mạng 192.168.40.1/24
  • Rule 5: Cho phép lớp nhóm server VLAN10, lớp mạng 192.168.10.1/24 truy cập lẫn nhau
  • Rule 6: Cho phép lớp nhóm Nhân Viên VLAN20, lớp mạng 192.168.20.1/24 truy cập lẫn nhau
  • Rule 7: Cho phép lớp nhóm Khách VLAN30, lớp mạng 192.168.30.1/24 truy cập lẫn nhau
  • Rule 8: Cho phép lớp BGD VLAN40, lớp mạng 192.168.40.1/24 truy cập lẫn nhau
  • Rule 9: chặn tất cả các lớp mạng nội bộ truy cập lẫn nhau
  • Rule 10: cho phép truy cập internet (Pass all tất cả các dịch vụ còn lại)

Vào ACL >> Create ACL tạo nhóm ACL, chọn Tab IPv4, Đặt tên ACL tại “ACL Profile Name”>> nhấn “Add

(trong trường hợp có nhiều nhóm khác nhau, mỗi nhóm cho từng port tương ứngthì cần tạo ra nhiều nhóm ACL)

  1. Tạo rule

Vào ACL >> Create ACE, chọn Tab IPv4 để tạo rule

     Rule 1: Cho phép tất cả các lớp mạng nội bộ truy cập lớp lan route 192.168.2.1/24

  • ACL Profile Name: Chọn ACL đã tạo trước đó
  • Sequence: Chọn một số (ví dụ: “1”, Trong trường hợp có nhiều rule thì mỗi rule phải khác thông số “Sequence”)
  • Action: chọn Permit
  • Source IP            
    • Chọn Any để quy định rule cho tất cả các lớp nội bộ
  • Destination IP                            
    • Bỏ chọn Any để điền lớp mạng cố định
    • Điền lớp mạng cho phép truy cập đến (192.168.2.1/ 255.255.255.0)
  • Nhấn “Add

      Rule 2: Cho phép lan route 192.168.2.1/24 truy cập tất cả các lớp còn lại, thực hiện tương tự rule 1

      Rule 3: Cho phép lớp nhóm Ban giám đốc VLAN40, lớp mạng 192.168.40.1/24 truy cập lớp server VLAN10, lớp mạng 192.168.10.1/24

      Rule 4: Cho phép lớp nhóm server VLAN10, lớp mạng 192.168.10.1/24 truy cập lớp Bán giám đốc VLAN40, lớp mạng 192.168.40.1/24

Rule 5: Cho phép lớp nhóm server VLAN10, lớp mạng 192.168.10.1/24 truy cập lẫn nhau

Rule 6, Cho phép lớp nhóm NhanVien VLAN20, lớp mạng 192.168.20.1/24 truy cập lẫn nhau 

Rule 7, Cho phép lớp nhóm Khach VLAN30, lớp mạng 192.168.30.1/24 truy cập lẫn nhau

Rule 8, Cho phép lớp nhóm BGD VLAN40, lớp mạng 192.168.40.1/24 truy cập lẫn nhau

   

  Rule 9: chặn tất cả các lớp mạng nội bộ truy cập lẫn nhau (các lớp mạng nội bộ được gom lại thành lớp mạng có subnet mask lớn hơn để việc tạo rule trở nên đơn giản)

  • ACL Profile Name: Chọn ACL đã tạo trước đó
  • Sequence: Chọn thứ tự xét rul (5)
  • Action: chọn Deny
  • Source IP            
    • Bỏ chọn Any để điền lớp mạng nội bộ
    • Điền lớp mạng chung của các lớp mạng nội bộ (192.168.0.1/16)
  • Destination IP                            
    • Bỏ chọn Any để điền lớp mạng cố định
    • Điền lớp mạng chung của các lớp mạng nội bộ (192.168.0.1/16
  • nhấn Add

     Rule 10: cho phép truy cập internet (Pass all tất cả các dịch vụ còn lại)

  • ACL Profile Name: chọn tên ACL
  • Sequence: Chọn thứ tự xét rule, đối với rule pass all nên chọn Sequence lớn để được xét sau cùng
  • Action: chọn Permit
  • Source IP: chọn Any
  • Destination IP: chọn Any
  • Nhấn Add

Sau khi đã tạo xong, ta có danh sách các rule như sau:

3. Gán ACL đã tạo vào port cần áp dụng

​Vào ACL >> ACL Binding 

  • Ports: chọn các port cần áp dụng
  • IPv4 ACL: chọn ACL đã tạo
  • Nhấn Apply     

 

B. Trường Hợp 2: Ban giám đốc và nhân viên truy cập được server nhưng không truy cập được lẫn nhau. Khách chỉ được phép truy cập internet

Cần tạo các rule sau:

  • Rule 1: block khách truy cập server
  • Rule 2: block khách truy cập Nhân viên
  • Rule 3: block khách truy cập Ban Giám Đốc
  • Rule 4: Block nhân viên truy cập Ban giám đốc
  • Rule 5: cho phép truy cập internet (Pass all tất cả các dịch vụ còn lại)

Thực hiện:

  1. Tạo ACL

Vào ACL >> Create ACL tạo nhóm ACL, chọn Tab IPv4, Đặt tên ACL tại “ACL Profile Name”>> nhấn “Add

  1. Tạo Rule

Vào ACL >> Create ACE, chọn Tab IPv4 để tạo rule

     Rule 1: block khách truy cập server (block 192.168.30.1/24 truy cập 192.168.10.1/24)

  • ACL Profile Name: chọn tên ACL
  • Sequence: Chọn thứ tự xét rule (Ví dụ chọn Sequence là 1 cho rule 1)
  • Action: chọn Deny
  • Source IP:
    • Bỏ chọn Any
    • Điền lớp mạng cần tạo rule (ví dụ lớp mạng khách 192.168.30.1/24)
  • Destination IP:
    • Bỏ chọn Any
    • Điền lớp mạng bị cấm truy cập đến (ví dụ lớp mạng server 192.168.10.1/24)
  • Nhấn Add

       Rule 2: block khách truy cập Nhân viên (block 192.168.30.1/24 truy cập 192.168.20.1/24) thực hiện tương tự rule 1

       Rule 3: block khách truy cập Ban giám đốc (block 192.168.30.1/24 truy cập 192.168.40.1/24) thực hiện tương tự rule 1

       Rule 4: Nhân viên khách truy cập Ban giám đốc (block 192.168.20.1/24 truy cập 192.168.40.1/24) thực hiện tương tự rule 1

      Rule 5: cho phép truy cập internet (Pass all tất cả các dịch vụ còn lại)

  • ACL Profile Name: chọn tên ACL
  • Sequence: Chọn thứ tự xét rule, đối với rule pass all nên chọn Sequence lớn để được xét sau cùng
  • Action: chọn Permit
  • Source IP: chọn Any
  • Destination IP: chọn Any
  • Nhấn Add

Sau khi đã tạo xong, ta có danh sách các rule như sau:

             3.Gán ACL đã tạo vào port cần áp dụng

  • Ports: chọn các port cần áp dụng
  • IPv4 ACL: chọn ACL đã tạo
  • Nhấn apply

      

 

C. Trường Hợp 3: Ban giám đốc, nhân viên, server được phép truy cập lẫn nhau, khách chỉ truy cập internet

Cần tạo các rule sau

  • Rule 1: block khách truy cập server
  • Rule 2: block khách truy cập Nhân viên
  • Rule 3: block khách truy cập Ban Giám Đốc
  • Rule 4: cho phép truy cập internet (Pass all tất cả các dịch vụ còn lại)

Thực hiện:

  1. Tạo ACL

Vào ACL >> Create ACL tạo nhóm ACL, chọn Tab IPv4, Đặt tên ACL tại “ACL Profile Name”>> nhấn “Add

 

  1. Tạo Rule

Vào ACL >> Create ACE, chọn Tab IPv4 để tạo rule

      Rule 1: block khách truy cập server (block 192.168.30.1/24 truy cập 192.168.10.1/24)

  • ACL Profile Name: chọn tên ACL
  • Sequence: Chọn thứ tự xét rule (Ví dụ chọn Sequence là 1 cho rule 1)
  • Action: chọn Deny
  • Source IP:
    • Bỏ chọn Any
    • Điền lớp mạng cần tạo rule (ví dụ lớp mạng khách 192.168.30.1/24)
  • Destination IP:
    • Bỏ chọn Any
    • Điền lớp mạng bị cấm truy cập đến (ví dụ lớp mạng server 192.168.10.1/24)
  • Nhấn Add

        Rule 2: block khách truy cập nhân viên (block 192.168.30.1/24 truy cập 192.168.20.1/24) thực hiện tương tự rule 1

       Rule 3: block khách truy cập Ban giám đốc (block 192.168.30.1/24 truy cập 192.168.40.1/24) thực hiện tương tự rule 1

     Rule 4: cho phép truy cập internet (Pass all tất cả các dịch vụ còn lại)

  • ACL Profile Name: chọn tên ACL
  • Sequence: Chọn thứ tự xét rule, đối với rule pass all nên chọn Sequence lớn để được xét sau cùng
  • Action: chọn Permit
  • Source IP: chọn Any
  • Destination IP: chọn Any
  • Nhấn Add

Sau khi đã tạo xong, ta có danh sách các rule như sau:

             

      3. Gán ACL đã tạo vào port cần áp dụng

  • Ports: chọn các port cần áp dụng
  • IPv4 ACL: chọn ACL đã tạo
  • Nhấn apply

      

Hãy liên lạc với chúng tôi để được hỗ trợ khi các bạn còn ở trước thiết bị và có thể login vào thiết bị.
Văn phòng TPHCM (028) 3925 3789
Chi nhánh miền Bắc (024) 3781 5089
Chi nhánh miền Trung (0236) 367 9515

Hotline Hỗ Trợ Kỹ Thuật: 1900 633 641