ยินดีต้อนรับสู่ show running-config ครับ

บล็อก show running-config นี้สร้างไว้เพื่อเป็นแหล่งรวบรวมเทคนิคการตั้งค่าอุปกรณ์เครือข่าย Cisco ไม่ว่าจะเป็น Cisco IOS Router, Cisco Catalyst Swtich, Cisco ASA Firewall, Cisco Mars เป็นต้น รวมทั้งอาจจะมีเทคนิคการตั้งค่าอุปกรณ์ในยี่ห้ออื่น ๆ บ้างเล็กน้อยครับ

ซึ่งบทความในบล็อกนี้ก็จะรวบรวมมาจากประสบการณ์ส่วนตัวของกระผมเองครับ (หากมีข้อผิดพลาดก็ขออภัยไว้ล่วงหน้าเลยละกันนะครับ) และก็อยากใช้พื้นที่แห่งนี้เป็นแหล่งในการแลกเปลี่ยนความรู้ รวมไปถึงวิธีการหรือเทคนิคการตั้งค่าอุปกรณ์เครือข่าย กับทุก ๆ คนครับ

Thursday, December 9, 2010

Block Mac Address บน Cisco IOS Router ด้วยการใช้ Mac Access-list

block mac address with mac access-list in cisco ios router

mac address access-list

           สวัสดีครับเพื่อน ๆ ในวันนี้ผมก็มีเทคนิคการตั้งค่าดี ๆ ที่จะมาแนะนำให้เพื่อน ๆ รู้จักกันอีกเช่นเคยครับ สำหรับเทคนิคในวันนี้นั้น ผมจะใช้ access-list บนเราเตอร์ มาทำการ block ทราฟิกที่ไม่ต้องการให้ใช้งานกันครับ ซึ่งโดยปกติแล้ว เราจะใช้ access-list ในการคัดเลือกทราฟิกมาเพื่อใช้ในงานต่าง ๆ เช่น ใช้ access-list สำหรับการเลือกทราฟิกที่ต้องการอนุญาตหรือไม่อนุญาตให้ใช้งานข้ามระหว่างเครือข่าย ซึ่งโดยปกติแล้วการตั้งค่า access-list ส่วนมากเราจะคัดเลือกทราฟิกตาม ip address ใช่มั้ยครับ แต่ในวันนี้ผมจะมาแนะนำให้เพื่อน ๆ ได้รู้จักกับ mac address access-list กันครับ

          การใช้งาน mac address access-list นี้จะใช้งานได้ผลก็ต่อเมื่อ เราใช้งานบนเราเตอร์ตัวที่ต่อกับ host ของเครือข่าย โดยตรงเท่านั้นนะครับ จะไม่สามารถใช้งานกับ host ที่ผ่านการทำ routing มาจากอุปกรณ์ Layer 3 ตัวอื่น ๆ เนื่องจาก เมื่อ packet นั้นถูกทำการ route ผ่านอุปกรณ์ Layer 3 มาแล้ว ค่า mac address ของ packet นั้นจะถูกเปลี่ยนจาก mac address ของเครื่อง host โดยตรง ไปเป็น mac address ของอุปกรณ์ Layer 3 แทนครับ (เป็นการทำงานโดยปกติของโปรโตคอล Ethernet) เพราะฉนั้นถ้าเพื่อน ๆ จะใช้งาน mac address access-list ให้ได้ผลจึงจะต้องนำไปใช้บนเราเตอร์ตัวที่เชื่อมต่อกับ host โดยตรงเท่านั้นครับ (ไม่ผ่านอุปกรณ์ Layer 3 ตัวอื่น ๆ)

          เพื่อน ๆ ที่เคยตั้งค่า access-list มาบ้าง เคยสังเกตุมั้ยครับว่าเวลาที่เราใช้งานคำสั่ง “?” หลังจากคำสั่ง “access-list” นั้น จะพบว่ามี mac address access list ให้ใช้งานด้วย (acl number 700-799 และ 1100-1199) ซึ่งในวันนี้เราจะมาเรียนรู้วิธีการใช้งาน access-list ที่ว่านี้กันครับ

ตัวอย่าง
Router(config)#access-list ?
  <1-99>            IP standard access list
  <100-199>         IP extended access list
  <1000-1099>       IPX SAP access list
  <1100-1199>       Extended 48-bit MAC address access list
  <1200-1299>       IPX summary address access list
  <1300-1999>       IP standard access list (expanded range)
  <200-299>         Protocol type-code access list
  <2000-2699>       IP extended access list (expanded range)
  <300-399>         DECnet access list
  <600-699>         Appletalk access list
  <700-799>         48-bit MAC address access list
  <800-899>         IPX standard access list
  <900-999>         IPX extended access list
  dynamic-extended  Extend the dynamic ACL absolute timer
  rate-limit        Simple rate-limit specific access list

          เนื่องจาก mac address นั้นจะทำงานบน Layer 2 เท่านั้น แต่เราเตอร์ของเราโดยปกติจะทำงานบน Layer 3 เพราะฉะนั้นเราจึงต้องทำการตั้งค่าให้เราเตอร์ทำ bridging และ routing ไปพร้อม ๆ กัน ด้วยการใช้คำสั่ง “bridge irb” ก่อนครับ

สำหรับขั้นตอนในการตั้งค่า mac address access-list ก็มีดังนี้ครับ

  1. ทำการตั้งค่า bridge irb (Integrated routing and bridging) และ bridge group
  2. ทำการกำหนดให้อินเทอร์เฟสที่เชื่อมต่อไปยังเครื่อง host ทำงานอยู่ใน bridge group ที่สร้างขึ้น
  3. ทำการสร้าง mac address access-list
  4. นำ mac address access-list ที่สร้างขึ้นไปใช้งานบนอินเทอร์เฟส

          เอาล่ะครับ เรามาเริ่มดูตัวอย่างการตั้งค่ากันเลยดีกว่านะครับ ในขั้นแรก ก็จะเป็นการตั้งค่า bridge irb และ bridge group กันก่อนครับ

ตัวอย่าง
Router(config)#bridge irb
Router(config)#bridge 1 protocol ieee
Router(config)#bridge 1 route ip

          จากการตั้งค่าด้านบน เป็นการตั้งค่าให้ใช้งาน bridge แบบ ใช้งาน routing และ bridging ร่วมกัน และทำการสร้าง bridge group 1 ขึ้นมา โดยใช้ protocol ieee และทำการ route แบบ ip ครับ จากนั้นเราก็ไปทำการตั้งค่าบนอินเทอร์เฟสที่เชื่อมต่อไปยังเครื่อง host ภายใน ให้เป็นสมาชิกของ bridge group นี้กันครับ

ตัวอย่าง
Router(config)#interface FastEthernet 0/0
Router(config-if)#description # To inside-host #
Router(config-if)#bridge-group 1
Router(config-if)#exit

          จากนั้นก็จะเป็นการตั้งค่า mac address access-list กันครับ ซึ่งหลักการก็จะเหมือนกับการตั้งค่า ip access-list ทั่วไปครับ โดยจะมีการระบุ source mac address ตามด้วย mac address mask ครับ(หลักการคล้าย ๆ กับ subnet mask ครับ เป็น 0 คือต้องตรงกับ bit นั้น เป็น F คือไม่จำเป็นต้องตรงกับ bit นั้น ๆ ครับ)

ตัวอย่าง
Router(config)#access-list 700 deny c205.1710.0000 0000.0000.0000
Router(config)#access-list 700 deny c202.1850.0000 0000.0000.0000
Router(config)#access-list 700 permit 0000.0000.0000 FFFF.FFFF.FFFF

          จากตัวอย่างด้านบน เป็นการตั้งค่าให้ทำการ block การใช้งานจากเครื่อง host ที่มี mac address เท่ากับ c205.1710.000 และ c202.1850.0000 ครับ จากนั้นก็ทำการอนุญาต mac address อื่น ๆ ให้สามารถใช้งานได้ทั้งหมดครับ

          เมื่อทำการสร้าง mac address access-list กันเรียบร้อยแล้ว เราก็จะทำ mac address access-list ที่เราทำการสร้างขึ้นมาไปใช้งานยังอินเทอร์เฟสที่เชื่อมต่อไปยัง host กันครับ

ตัวอย่าง
Router(config)#interface FastEthernet 0/0
Router(config-if)#bridge-group 1 input-address-list 700
Router(config-if)#exit

          เมื่อทำการตั้งค่าดามดัวอย่างด้านบนเรียบร้อยแล้ว เราก็จะสามารถใช้ mac address access-list ในการ block mac address ที่เราไม่ต้องการให้ใช้งานได้แล้วนะครับ ซึ่งในตัวอย่างนี้เราใช้การ block โดยดูจาก mac address ต้นทางเพียงอย่างเดียวใช่มั้ยครับ แต่เรายังสามารถใช้ mac address access-list แบบ extened (acl number 1100-1199) ซึ่งสามารถทำการระบุได้ถึง mac address ต้นทางและปลายทางได้อีกด้วยนะครับ ซึ่งเอาไว้ในโอกาสหน้าจะมาตั้งค่าเป็นตัวอย่างให้ดูกันนะครับ

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)