Xem sơ đồ mô phỏng trước khi bắt đầu:
Một mạng gồm bốn máy tính (PC1–PC4) được kết nối qua hai switch đa lớp (Layer 3 Switch). Yêu cầu triển khai là: – PC1 có thể giao tiếp với PC3, nhưng không được phép kết nối tới PC4. – PC2 có thể truy cập PC4, nhưng bị chặn khỏi PC3.

1. Thiết lập địa chỉ IP và cổng mặc định cho các thiết bị đầu cuối

• PC1: 172.2.2.10/24, cổng mặc định 172.2.2.1
• PC2: 172.2.2.11/24, cổng mặc định 172.2.2.1
• PC3: 172.1.1.10/24, cổng mặc định 172.1.1.1
• PC4: 172.1.1.11/24, cổng mặc định 172.1.1.1

Lưu ý: Tất cả địa chỉ đều thuộc dải riêng (RFC 1918), và cổng mặc định phải nằm cùng mạng con với thiết bị tương ứng.

2. Kết nối vật lý

Hai switch đa lớp được liên kết qua cổng GigabitEthernet0/1. Mỗi switch kết nối tới một phân đoạn LAN thông qua cổng GigabitEthernet0/2:

• Switch trái: Gi0/2 → phân đoạn 172.2.2.0/24 (PC1, PC2)
• Switch phải: Gi0/2 → phân đoạn 172.1.1.0/24 (PC3, PC4)

3. Cấu hình địa chỉ IP cho các interface trên switch

Trên switch trái:

enable
configure terminal
interface GigabitEthernet0/1
 ip address 192.168.100.1 255.255.255.0
 no shutdown
interface GigabitEthernet0/2
 ip address 172.2.2.1 255.255.255.0
 no shutdown
exit

Trên switch phải:

enable
configure terminal
interface GigabitEthernet0/1
 ip address 192.168.100.2 255.255.255.0
 no shutdown
interface GigabitEthernet0/2
 ip address 172.1.1.1 255.255.255.0
 no shutdown
exit

4. Kích hoạt định tuyến nội bộ (inter-VLAN routing)

Cả hai switch đều cần bật chức năng định tuyến và quảng bá các mạng con:

ip routing

router ospf 1
 network 192.168.100.0 0.0.0.255 area 0
 network 172.2.2.0 0.0.0.255 area 0

(Cấu hình tương tự trên switch phải, thay 172.2.2.0 bằng 172.1.1.0).

5. Áp dụng danh sách kiểm soát truy cập (ACL)

Để đáp ứng yêu cầu phân quyền chi tiết, ta tạo ACL mở rộng trên switch trái, áp dụng ở hướng ra trên cổng kết nối tới mạng đích (Gi0/1 hoặc Gi0/2). Dưới đây là hai phương án:

Phương án A: Phân tách theo từng quy tắc riêng lẻ

Tạo ACL số 110 để kiểm soát lưu lượng từ phân đoạn 172.2.2.0/24 sang 172.1.1.0/24:

ip access-list extended FILTER_TRAFFIC
 deny ip host 172.2.2.10 host 172.1.1.11   ! PC1 → PC4: chặn
 deny ip host 172.2.2.11 host 172.1.1.10   ! PC2 → PC3: chặn
 permit ip 172.2.2.0 0.0.0.255 172.1.1.0 0.0.0.255  ! Cho phép còn lại

Áp dụng lên cổng ra hướng mạng đích (ở đây là Gi0/1):

interface GigabitEthernet0/1
 ip access-group FILTER_TRAFFIC out

Phương án B: Sử dụng ACL tên thay vì số — linh hoạt và dễ bảo trì hơn

Thay vì dùng số thứ tự cố định, khai báo ACL theo tên giúp dễ đọc và mở rộng:

ip access-list extended INTER_SEGMENT_POLICY
 remark Block PC1 (172.2.2.10) from reaching PC4 (172.1.1.11)
 deny ip host 172.2.2.10 host 172.1.1.11
 remark Block PC2 (172.2.2.11) from reaching PC3 (172.1.1.10)
 deny ip host 172.2.2.11 host 172.1.1.10
 remark Allow all other inter-subnet traffic
 permit ip any any

Sau đó gắn vào interface phù hợp:

interface GigabitEthernet0/1
 ip access-group INTER_SEGMENT_POLICY out

Kiểm tra kết quả bằng lệnh ping từ từng PC. Các kết nối bị chặn sẽ trả về Request timed out, trong khi các luồng được phép vẫn hoạt động bình thường.