Truyện Cười BlogTaPhiet KC

Chat Box


--------------:Search

Chủ Nhật, 30 tháng 10, 2011

Bài 33: Nâng cao về Extended Access List

A. Mục tiêu của bài lab:
Cấu hình Extended Access List để lọc nhiều loại lưu lượng mạng (traffic) khác nhau như:
- Lọc các traffic gửi từ network này tới network kia.
- Lọc các traffic gửi từ host tới network.
- Lọc các traffic gửi từ network tới host.
B. Chuẩn bị cho bài lab:

1. Xây dựng sơ đồ mạng và cấu hình IP cho các thiết bị như hình sau:

2. Cấu hình RIP cho tất cả các router sử dụng các câu lệnh network thích hợp.
3. Đảm bảo rằng các route trong bảng định tuyến của các router được tạo ra đầy đủ và chính xác với lệnh show ip route.
4. Kiểm tra kết nối giữa các thiết bị bằng lệnh ping.
C. Các bước thực hiện:

 Kiểm soát traffic gửi từ network này tới network kia.

1. Access list đầu tiên ta tạo ra sẽ chỉ cho phép các traffic (sử dụng protocol bất kỳ) từ mạng Administration (gồm PC4 và PC5) gửi tới mạng Corporate HQ (gồm PC1). Để làm điều này ta sẽ sử dụng extended access list như sau:
access-list 100 permit ip 192.168.1.0 0.0.0.127 192.168.3.0 0.0.0.255
access-list 100 permit ip 192.168.2.0 0.0.0.0 any

- Câu lệnh đầu có nghĩa rằng các IP nằm trong dải (192.168.1.0 -> 192.168.1.127) được phép gửi bất kỳ traffic nào tới các IP thuộc mạng 192.168.3.0/24.
- Câu lệnh thứ hai có nghĩa rằng các các IP thuộc mạng 192.168.2.0/24 được phép gửi bất kỳ traffic nào tới bất kỳ mạng nào.
Vì ngầm định, ở dưới cùng access list luôn có một entry mang nghĩa cấm tất cả các traffic vào/ra nên ta cần tới lệnh này để các router1 và router2 có thể trao đổi (dạng broadcast) các thông tin định tuyến (RIP) cho nhau.
2. Vì traffic xuất phát từ Router2 và đi đến Router1 nên ta sẽ cấu hình và gán access list cho cổng S2/0 của Router1 để kiểm tra tất cả các traffic gửi đến cổng này (hướng inbound).
3. Để kiểm tra access list này, thử ping PC1 từ PC2, PC3, PC4 và PC5. Nếu PC2 và PC3 không thể ping tới PC1 nhưng PC4 và PC5 thì có thể thì ta đã access list đã làm việc đúng theo yêu cầu.
Trên PC2

Trên PC4

 Kiểm soát traffic gửi từ host này tới host kia

1. Phần tiếp theo của bài lab này, ta sẽ khóa việc truy cập đến file server (PC5) từ một máy trạm cụ thể (PC2).
Để thực hiện điều này, ta sẽ tạo một access list trên Router2 có tác dụng chặn tất cả các traffic gửi từ PC2 đến PC5. Sau đó gán access list này cho cổng Fa0/0 của Router2.
2. Giờ kết nối tới PC2 và xác nhận rằng ta không thể ping tới PC5 nhưng từ PC3 ta có thể ping tới PC5
Trên PC2

Trên PC3

 Kiểm soát traffic gửi từ network cho host

1. Trước khi bắt đầu cấu hình cho access list mới này, ta cần loại bỏ các access list trên Router1 và Router2 vừa tạo ở trên như sau:
Trên Router1

Trên Router2

2. Ở kịch bản cuối cùng này, ta sẽ chặn tất cả các traffic gửi đến PC1 từ vùng Network Users như trong sơ đồ mạng ở trên. Để làm điều này, ta sẽ viết một extended access list như sau:
access-list 102 deny ip 192.168.1.128 0.0.0.127 host 192.168.3.2
access-list 102 permit ip any any

Rồi gán access list 102 này cho cổng S2/0 của Router2 với hướng outbound.
Để kiểm tra access list có làm việc đúng chưa, thử ping PC1 từ PC2 hoặc PC2, nếu ping thất bại thì chúc mừng, ta đã hoàn thành xong bài lab 33 này.
–Hết.
Share/Save/Bookmark

Đăng nhận xét

More →
Chữ đậm Chữ nghiêng Chữ nghiêng 2 Chèn Link Chèn Link Mã hóa code Help ?Nhấn vào biểu tượng hoặc kiểu chữ hoặc chèn link sau đó nhấn nút Chọn rồi copy (Ctrl + C) để paste (Ctrl + V) vào khung viết bình luận. Mã hóa code nếu bạn muốn đưa code vào bình luận.

Chọn Xóa
Top