[cisco vlan map Test]

gns3에서 vlan map이 안 되서 날 잡아서 실 장비로 테스트 했습니다.

틀린 부분이나, 조언 및 또 다른 정보 있으면 알려주세요~

아래 내용은 txt파일로 파일첨부 했습니다.+_+b

----------------------------------------------------------

vlan map 테스트 정리

기본적인 acl과의 차이점은

in/out 에 적용이 아니라 vlan 자체에 적용
그래서 같은 브로드캐스트 대역의 통신을 제어할 수 있음.
SVI(interface vlan)는 없어도 됨.

적용 명령어

vlan filter testmap vlan-list 100

vlan access-map testmap 10
action forward
match ip address testpermit
vlan access-map testmap 20
action drop
match ip address testdrop
vlan access-map testmap 30
action forward
match ip address test3389

ip access-list extended testpermit <-(100에서 200의 445 포트로 붙으려면 아래와 같이 ACL 넣는다.)
permit tcp host 1.1.1.100 host 1.1.1.200 eq 445
permit tcp host 1.1.1.200 eq 445 host 1.1.1.100

ip access-list extended testdrop
permit icmp host 1.1.1.100 host 1.1.1.200

ip access-list extended test3389
permit ip any any

-----------------------------------------------

-참고사항-

map 생성시 맨 뒤 시퀀스 번호 안 주면 10부터 시작하고, 10씩 증가한다.
map 중간에 빠진 번호가 있어도, 새로 생성 할 때 번호 안 주면
무조건 맨 뒤(10단위 기준) 번호에서 +10 으로 생성 된다.
이 번호를 이용해서 map 끼워넣기, 특정 map 삭제가 가능하다.

map 삭제시 번호 안 주면 같은 이름의 map 모두 한번에 삭제 됨.

map 생성시 action 을 정해주지 않으면 기본적으로 action forward 로 적용된다.
map 생성시 action forward 하고, match acl을 했는데,
만약에 acl이 없으면, 아래 drop rule이 있어도, all permit 상태가 된다.
ACL 만들어야 아래 map 먹힘.(궁금증 테스트에서 좀 더 자세히~)

action drop 이라도 적용 할 acl은 permit으로 적용 한다.
이렇게 해야 deny 처리된다.

하지 말라는데 꼭 하는 사람 있다.
만약에 permit으로 안 하고 deny 로 하면, 해당 acl 안 먹힌다.
그게 action forward 이든, action drop 이든, 그 deny 적힌 rule은 적용 안 된다.
(샘플)
ip access-list extended testpermit
permit tcp host 1.1.1.1 host 1.1.1.2 eq 80
permit tcp host 1.1.1.2 eq 80 host 1.1.1.1
deny tcp host 1.1.1.100 host 1.1.1.200 eq 445 <-deny로 넣은 룰 은 무조건 안 먹힘.
deny tcp host 1.1.1.200 eq 445 host 1.1.1.100 <-deny로 넣은 룰 은 무조건 안 먹힘.
permit tcp host 1.1.1.3 eq 80 host 1.1.1.1

(샘플2)
ip access-list extended testpermit
permit tcp host 1.1.1.1 host 1.1.1.2 eq 80
permit tcp host 1.1.1.2 eq 80 host 1.1.1.1
permit tcp host 1.1.1.100 host 1.1.1.200 eq 445 <-permit으로 해서 acl 끼워 넣으면 적용된다.+_+b
permit tcp host 1.1.1.200 eq 445 host 1.1.1.100 <-permit으로 해서 acl 끼워 넣으면 적용된다.+_+b
deny tcp host 1.1.1.100 host 1.1.1.200 eq 445 <-deny로 넣은 룰 은 무조건 안 먹힘.
deny tcp host 1.1.1.200 eq 445 host 1.1.1.100 <-deny로 넣은 룰 은 무조건 안 먹힘.
permit tcp host 1.1.1.3 eq 80 host 1.1.1.1

-----------------------------------------------

-궁금증 테스트-
1. map의 순서가 있는가? -> 순서 있다. acl처럼 위에서 부터 적용.

2. vlan interface에 ip 안 적고 해도 되나? -> ip 없어도 되고, interface vlan 자체가 없어도 된다. vlan만 있으면 된다.

3. 없는 vlan을 필터 해 보자. -> filter 명령어는 적용된다. 의미는 없다.

4. acl hitcount 올라가냐? -> 골 때리게, 안 올라간다.ㅡㅡ;;이건 참 충격적이었다.

5. map 1개만 만들고 acl 적용하고, action forward 만 사용 테스트(요점은 action drop없이) -> 해당 rule만 허용된다. 나머지 deny 된다.
(샘플)
vlan filter testmap vlan-list 100

vlan access-map testmap 10
action forward
match ip address testpermit

ip access-list extended testpermit
permit tcp host 1.1.1.1 host 1.1.1.2 eq 80
permit tcp host 1.1.1.2 eq 80 host 1.1.1.1
permit tcp host 1.1.1.100 host 1.1.1.200 eq 445
permit tcp host 1.1.1.200 eq 445 host 1.1.1.100
permit tcp host 1.1.1.3 eq 80 host 1.1.1.1

6. 맨 위에 action drop만 해 놓고 acl 적용 안 하기 -> 아래 map에서 뭔 짓을 해도, all deny (무서웠다...)
(샘플)
vlan filter testmap vlan-list 100

vlan access-map testmap 10
action drop
vlan access-map testmap 20
action forward
match ip address testpermit

ip access-list extended testdrop
permit icmp host 1.1.1.100 host 1.1.1.200

7. 6번과 비슷한 상황인데, 이번엔 map 컨피그는 모두 있고, map이 참조하고 있는 acl을 날려버렸다.
(샘플)
vlan filter testmap vlan-list 100

vlan access-map testmap 10
action drop
match ip address testdrop
vlan access-map testmap 20
action forward
match ip address testpermit

ip access-list extended testdrop <-------------------[이걸 no 명령어로 없앴다.]
permit icmp host 1.1.1.100 host 1.1.1.200

결과는 아래 map에 forward 가 있음에도 all deny 상태다.
혹시나 해서 acl 이름만 만들어 봤다.ip access-list extended testdrop 이거만,
그래도 역시 all deny 상태다.
rule을 무조건 permit icmp host 1.1.1.100 host 1.1.1.200 한 줄이라도 넣어야 all deny가 안 되고,
아래 map 이 적용 된다.

8. 7번의 반대 상황이다. 맨위 map 이 forward 일 때 7번과 같은 테스트를 했다.
(샘플)
vlan filter testmap vlan-list 100

vlan access-map testmap 10
action forward
match ip address testpermit
vlan access-map testmap 20
action drop
match ip address testdrop

ip access-list extended testdrop
permit icmp host 1.1.1.100 host 1.1.1.200

ip access-list extended testpermit <-------------------[이걸 no 명령어로 없앴다.]
permit tcp host 1.1.1.1 host 1.1.1.2 eq 80
permit tcp host 1.1.1.2 eq 80 host 1.1.1.1
permit tcp host 1.1.1.100 host 1.1.1.200 eq 445
permit tcp host 1.1.1.200 eq 445 host 1.1.1.100
permit tcp host 1.1.1.3 eq 80 host 1.1.1.1

결과는 아래 map에 deny가 있음에도 all permit 상태다. ㅡㅡ;;(map이 점점 싫어지고 있다.)
7번과 동일하다. 7번의 혹시나 해서 그 뒷 부분 모두 동일한 상태다.

9. 이번엔 샘플 먼저 보자.
(샘플)
vlan filter testmap vlan-list 100

vlan access-map testmap 10
action forward
match ip address testpermit
vlan access-map testmap 20
action drop
match ip address testdrop <-------------------[이걸 no 명령어로 없앴다.]
vlan access-map testmap 30 <- match가 없는 이 상태는 permit any any로 보면 된다.
action forward

ip access-list extended testdrop
permit icmp host 1.1.1.100 host 1.1.1.200

결과는 all deny다. 10번 map의 permit이 안 먹힌다.
혹시나 해서, match ip address testdrop 를 다시 넣고, match가 참조하는 testdrop acl을 뺐다.
결과는 10 번 map의 permit 먹힌다.+_+b 하지만 30번 map이 있어도, 그 아래부터는 all deny다.
acl 제목만 있어도 같은 결과다.
ip access-list extended testdrop <--rule 없이 이거만~

결론은
vlan map 싫다.

참고로 vlan map 에 acl 이렇게도 적용 가능함.
vlan access-map testmap 10
action forward
match ip address testpermit test3389

-끝-

'Network' 카테고리의 다른 글

[CactiEZ 사용하기] (0)	2021.12.29
[Pfsense Firewall Install] (0)	2021.12.17
[cisco err-disabled 이란?] (0)	2021.12.05
[cisco asa5505 TEST] (0)	2021.12.01
[SNMP_OID 값이 무엇인가?] (0)	2021.11.26

MI6

[cisco vlan map Test]

'Network' 카테고리의 다른 글

티스토리툴바

[cisco vlan map Test]

'Network' 카테고리의 다른 글

'Network' Related Articles

티스토리툴바