Diễn Đàn CNTT
Bạn có muốn phản ứng với tin nhắn này? Vui lòng đăng ký diễn đàn trong một vài cú nhấp chuột hoặc đăng nhập để tiếp tục.

Bài Lab Hướng Dẫn Cấu Hình Access-List

Go down

Bài Lab Hướng Dẫn Cấu Hình Access-List Empty Bài Lab Hướng Dẫn Cấu Hình Access-List

Bài gửi  bean911 Sat Mar 19, 2011 6:28 pm

CẤU HÌNH ACCESS-LIST CƠ BẢN
I. Giới thiệu

- ACL là một danh sách các câu lệnh được áp đặt vào các cổng (interface) của router. Danh sách này chỉ ra cho router biết loại packet nào được chấp nhận (allow) và loại packet nào bị hủy bỏ (deny). Sự chấp nhận và huỷ bỏ này có thể dựa vào địa chỉ nguồn, địa chỉ đích hoặc chỉ số port.

- ACL sẽ được thực hiện theo trình tự của các câu lệnh trong danh sách cấu hình khi tạo access-list. Nếu có một điều kiện được so khớp (matched) trong danh sách thì nó sẽ thực hiện, và các câu lệnh còn lại sẽ không được kiểm tra nữa.Trường hợp tất cả các câu lệnh trong danh sách đều không khớp (unmatched) thì một câu lệnh mặc định “deny any” được thực hiện. Cuối access-list mặc định sẽ là lệnh loại bỏ tất cả (deny all). Vì vậy, trong access-list cần phải có ít nhất một câu lệnh permit.

- ACL có hai loại là ACL Standard va ACL Extended trong đó ACL Standard chỉ quan tân tới địa chỉ nguồn của gói tin nghĩa là nó cho phép Permit hoặc Deny một địa chỉ hoặc một mạng. ACL Extended làm việc với địa chỉ đích, địa chỉ nguồn, port ứng dụng của gói tin , ACL extended là dạng mở rộng của ACL standard. ACL extended cho phép permit hoặc Deny từ địa chỉ mạng này tới địa chỉ mạng kia, từ mạng này tới mạng kia hay cấm hoặc cho phép các ứng dụng. Access-list Standard thường được đặt ở đích còn Access-list Exstanded thường được đặt ở nguồn.

- Trong thực tế ACL được thực hiện khá nhiều để control mạng và đó cũng là một công cụ tốt cho bảo mật cho mạng.
II. Cho mô hình.

Bài Lab Hướng Dẫn Cấu Hình Access-List ACL
III. Yêu cầu.
1. Cấu hình khởi tạo cho các thiết bị mạng.
- đặt tên
- cấu hình Banner mote
- cấu hình password cho console, telnet, Privileged.
Password console: itn
Password telnet: itn
Password Privileged: itn


2. Cấu hình các interface của router, Switch.
- cấu hình địa chỉ IP cho các interface
- cấu hình description
- cấu hình enable các interface

3. cấu hình default route cho Router1 và static route cho Router2

4. Kiểm tra
- kiểm tra các interface đã up hay chưa bằng câu lệnh Show ip intface Brief
- cấu hình đúng hay chưa sử dụng câu lệnh Show Running - config
- mạng đã thông chưa sử dụng lệnh Ping hoặc Show Ip route để kiểm tra bảng định tuyến

5. cấu hình ACL.
- Cấu hình ACL cấm toàn bộ lưu lượng từ PC1 tới PC2.
- Cấm Ping từ PC1 tới cổng serial 0/1 của router 2.

6. Kiểm tra ACL
- đứng trên PC1 ping đến PC2 và so sánh với đứng trên R1 ping
- đứng trên PC1 ping Cổng serial 0/1 và đứng trên Router1 Ping so sánh kết quả.


IV.cấu hình chi tiết

1. cấu hình cơ bản
1.1. cấu hình khởi tạo các thiết bị mạng
Router 1
Cấu hình đặt tên
Router>enable
Router#configure terminal
Router(config)#hostname Router1
Router1(config)#

cấu hình Banner mote
Router1(config)#banner motd " Router_1 "

cấu hình console
Router1(config)#line console 0
Router1(config-line)#password itn
Router1(config-line)#login
Router1(config-line)#exit



cấu hình telnet
Router1(config)#line vty 0 4
Router1(config-line)#password itn
Router1(config-line)#login
Router1(config-line)#exit

cấu hình password privileged
Router1(config)#enable secret itn

Cấu hình các interface của router
Router1(config)#interface serial 1/0
Router1(config-if)#ip address 192.168.2.1 255.255.255.0
Router1(config-if)#description ket noi toi router 2
Router1(config-if)#clock rate 64000
Router1(config-if)#no shutdown
Router1(config-if)#exit


Router1(config)#interface fastEthernet 2/0
Router1(config-if)#ip address 192.168.1.1 255.255.255.0
Router1(config-if)#description ket noi toi lan
Router1(config-if)#no sh
Router1(config-if)#exit

cấu hình default route cho Router1
Router1(config)# ip route 0.0.0.0 0.0.0.0 s1/0



Router 2
Cấu hình đặt tên
Router>enable
Router#configure terminal
Router(config)#hostname Router2
Router2(config)#

cấu hình Banner mote
Router2(config)#banner motd " Router_2 "

cấu hình console
Router2(config)#line console 0
Router2(config-line)#password itn
Router2(config-line)#login
Router2(config-line)#exit

cấu hình telnet
Rter2(config)#line vty 0 4
Router2(config-line)#password itn
Router2(config-line)#login
Router2(config-line)#exit

cấu hình password privileged
Router2(config)#enable secret itn

Cấu hình các interface của router

Router2(config)#interface serial 1/0
Router2(config-if)#ip address 192.168.2.2 255.255.255.0
Router2(config-if)#description ket noi toi router 1
Router2(config-if)#clock rate 64000
Router2(config-if)#no shutdown
Router2(config-if)#exit


Router2(config)#interface fastEthernet 2/0
Router2(config-if)#ip address 192.168.3.1 255.255.255.0
Router2(config-if)#description ket noi toi lan
Router2(config-if)#no sh
Router2(config-if)#exit

Cấu hình static route cho Router2
Router(config)#ip route 192.168.3.0 255.255.255.0 192.168.2.2

kiểm tra
Kiểm tra các interface đã được cấu hình đúng chưa sử dụng câu lệnh
show ip interface brief
kiểm tra xem các cấu hình bên trên đã đúng chưa sử dụng câu lệnh
show running-config
Kiểm tra bảng định tuyến sử dụng câu lệnh
show ip route

Cấu hình địa chỉ IP cho các PC
PC1
C:>winipcfg
Ip address 192.168.1.2
Subnet mask 255.255.255.0
Default gateway 192.168.1.1
PC2
C:>winipcfg
Ip address 192.168.3.2
Subnet mask 255.255.255.0
Default gateway 192.168.3.1

2. cấu hình Access-list trên Router 2

- Cấu hình cấm toàn bộ lưu lượng từ PC1 đến PC2
Router2(config)# access-list 1 deny 192.168.3.2 0.0.0.0

Đặt access-list 1 vừa tạo vào cổng fastethernet 0/2 của Router2
Router2(config)# int fa0/2
Router2(config)#ip access-group 1 out
Router2(config)# exit

- Cấu hình cấm ping PC1 tới cổng serial của Router2
Router2(config)# access-list 101 deny ip host 192.168.1.2 host 192.168.2.2 eq echo-reply
Router2(config)# access-list 101 deny ip host 192.168.1.2 host 192.168.2.2 eq echo
Router2(config)# access-list 100 permit ip any any \\ cho phép các lưu lượng khác lưu thông bình thường
Đặt Access-list vào interface s1/0 theo chiều in
Router2(config)#interface s1/0
Router2(config)#ip access-group 101 in
Router2(config)#exit


khi cấu hình Access-List các câu lệnh nên thực hiện lần lượt từ phức tạp đến đơn giản, Cuối ACL luôn có câu lệnh cấm tất cả, một ACL phải có ít nhất một câu lệnh Permit.

3. kiểm tra
- dùng Router1 với địa chỉ nguồn là192.168.1.1 ping đến PC2
Router1#ping
Protocol [ip]:
Target IP address: 192.168.3.2
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.1.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.0.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
Ping thành công trong khi đó với PC1 khi ping đến PC2:
Bài Lab Hướng Dẫn Cấu Hình Access-List Ping1
- Dùng extended ping trên Router1 tới cổng serial 1/0 của Router2, lấy địa chỉ nguồn là 192.168.1.1
R1#ping
Protocol [ip]:
Target IP address: 192.168.2.2
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.1.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.0.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
Có thể ping được vì access list chỉ cấm PC1 với địa chỉ 192.168.1.2
- thử Ping từ PC1
Bài Lab Hướng Dẫn Cấu Hình Access-List Ping2
V. Lưu cấu hình vào NVRam
- sau khi hoàn tất cấu hình và việc kiểm tra tiến hành lưu cấu hình vào NVRam
Router2#copy running-config startup-config
Router2#copy running-config startup-config
Nguồn:
Code:
http://www.itn.com.vn/forum/

bean911

Tổng số bài gửi : 13
Join date : 15/03/2011

Về Đầu Trang Go down

Về Đầu Trang

- Similar topics

 
Permissions in this forum:
Bạn không có quyền trả lời bài viết