Yêu Cầu
:
-
Cấu hình cơ bản cho các router và gán địa chỉ IP như hình vẽ.
-
Cấu hình định tuyến OSPF cho tất cả các router.
- Viết Standard ACL :
§ Cấm tất cả các máy tính thuộc đường mạng
192.168.11.0/24 truy xuất đến các máy tính thuộc đường mạng 192.168.30.0/24
- Viết
Extended ACL thực hiện các công việc
sau :
§ Cấm tất cả các máy tính thuộc đường mạng
192.168.10.0/24 truy cập internet (nghĩa là cấm truy cập đến interface loopback0
có địa chỉ 200.200.200.1/30).
§ Cấm tất cả các máy tính thuộc đường mạng
192.168.11.0/24 truy cập web đến server
192.168.20.254 nhưng ping hoặc telnet đến server này thì được phép.
§ Cấm tất cả các máy tính thuộc đường mạng
192.168.10.0/24 telnet đến router 3.
- Viết Name ACL :
§ Cấm tất cả các máy tính thuộc đường mạng 192.168.30.0
ping đến server 192.168.20.254 nhưng truy cập web đến server này thì được phép.
- Điều khiển truy cập tới
line VTY (telnet)
§ Cấu hình chỉ cho phép các host thuộc 2 mạng 10.2.2.0/30
và 192.168.30.0/24 telnet đến Router 2.
Hướng Dẫn
:
Công việc 1
: Cấu hình cơ bản cho các router và gán địa chỉ IP như hình vẽ.
Công việc 2
: Cấu hình định tuyến OSPF cho tất cả các router.
Router1(config)#router ospf 1
Router1(config-router)#network
10.1.1.0 0.0.0.3 area 0
Router1(config-router)#network
192.168.10.0 0.0.0.255 area 0
Router1(config-router)#network
192.168.11.0 0.0.0.255 area 0
Router1(config-router)#end
Router2(config)#router ospf 1
Router2(config-router)#network
10.1.1.0 0.0.0.3 area 0
Router2(config-router)#network
192.168.20.0 0.0.0.255 area 0
Router2(config-router)#network
200.200.200.0 0.0.0.3 area 0
Router2(config-router)#network
10.2.2.0 0.0.0.3 area 0
Router2(config-router)#end
Router3(config)#router ospf 1
Router3(config-router)#network
10.2.2.0 0.0.0.3 area 0
Router3(config-router)#network
192.168.30.0 0.0.0.255 area 0
Router3(config-router)#end
Công việc 3
: Viết Standard ACL
§ Cấm tất cả các máy tính thuộc đường mạng 192.168.11.0/24 truy xuất đến
các máy tính thuộc đường mạng 192.168.30.0/24
ð Ta viết ACL trên router 3 và áp vào chiều IN trên interface serial của
router 3
Router3(config)#access-list 1 deny 192.168.11.0
0.0.0.255
Router3(config)#access-list 1 permit any
Router3(config)#interface s0/3/0
Router3(config-if)#ip access-group 1 in
ð Kiểm tra bằng cách sử dụng lệnh ping mở rộng, nếu
ping từ source 192.168.11.1 thì ping không được, nhưng nếu ping từ source
192.168.10.1 thì ping được.
Router1#ping
Protocol [ip]:
Target IP address: 192.168.30.10
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y ß chỗ này nhớ bấm phím y (chọn yes)
Source address or interface: 192.168.11.1
Type of service [0]:
Set DF bit in IP header?
[no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record,
Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to
abort.
Sending 5, 100-byte ICMP
Echos to 192.168.30.10, timeout is 2 seconds:
Packet sent with a source
address of 192.168.11.1
.....
Success rate is 0 percent (0/5)
Router1#ping
Protocol [ip]:
Target IP address: 192.168.30.10
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y ß chỗ này nhớ bấm phím y (chọn yes)
Source address or interface: 192.168.10.1
Type of service [0]:
Set DF bit in IP header?
[no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record,
Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to
abort.
Sending 5, 100-byte ICMP
Echos to 192.168.30.10, timeout is 2 seconds:
Packet sent with a source
address of 192.168.10.1
!!!!!
Success rate is 100 percent (5/5), round-trip
min/avg/max = 94/115/140 ms
ð Kiểm tra hoạt động của ACL
Router3#show access-lists
Standard IP access list 1
deny 192.168.11.0 0.0.0.255 (9 match(es))
permit any (123 match(es))
Công việc 4 : Viết Extended
ACL thực hiện các công việc sau :
§ Cấm tất cả các máy tính thuộc đường mạng 192.168.10.0/24 truy cập internet. § Cấm tất cả các máy tính thuộc đường mạng
192.168.11.0/24 truy cập web đến server
192.168.20.254 nhưng ping hoặc telnet đến server này thì được phép.
§ Cấm tất cả các máy tính thuộc đường mạng 192.168.10.0/24 telnet đến
router 3.
ð Kiểm tra trước khi viết ACL
- Trước khi có ACL máy tính
PC1 vẫn có thể truy cập đến địa chỉ 200.200.200.1
PC1>ping 200.200.200.1
Pinging 200.200.200.1 with 32
bytes of data:
Reply from 200.200.200.1:
bytes=32 time=218ms TTL=254
Reply from 200.200.200.1:
bytes=32 time=111ms TTL=254
Reply from 200.200.200.1:
bytes=32 time=141ms TTL=254
Reply from 200.200.200.1:
bytes=32 time=140ms TTL=254
Ping statistics for
200.200.200.1:
Packets: Sent = 4, Received = 4, Lost = 0
(0% loss),
Approximate round trip times
in milli-seconds:
Minimum = 111ms, Maximum = 218ms, Average =
152ms
-
Trước khi có ACL máy tính PC2 vẫn có thể truy cập web đến server 192.168.20.254
- Trước khi có ACL máy tính
PC1 vẫn có thể telnet đến router 3
PC1>telnet 10.2.2.2
Trying 10.2.2.2 ...
User Access Verification
Password:
Router3>
PC1>telnet 192.168.30.1
Trying 192.168.30.1 ...
User Access Verification
Password:
Router3>
ð Viết ACL trên router 1 và áp vào interface serial S0/1/0 theo chiều OUT
Router1(config)#access-list 102 deny ip 192.168.10.0 0.0.0.255 host
200.200.200.1
Router1(config)#access-list
102 deny tcp 192.168.11.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 80
Router1(config)#access-list
102 deny tcp 192.168.10.0 0.0.0.255 host 10.2.2.2 eq 23
Router1(config)#access-list
102 deny tcp 192.168.10.0 0.0.0.255 host 192.168.30.1 eq 23
Router1(config)#access-list
102 permit ip any any
Router1(config)#interface
s0/1/0
Router1(config-if)#ip
access-group 102 out
ð Kiểm tra sau khi viết ACL
- Sau khi có ACL máy tính PC1
không thể truy cập đến địa chỉ 200.200.200.1
PC1>ping 200.200.200.1
Pinging 200.200.200.1 with 32
bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for
200.200.200.1:
Packets: Sent = 4, Received = 0, Lost = 4
(100% loss),
-
Sau khi có ACL thì ta không thể đi web đến 192.168.20.254 nhưng ping thì vẫn được
PC2>ping 192.168.20.254
Pinging 192.168.20.254 with
32 bytes of data:
Reply from 192.168.20.254:
bytes=32 time=110ms TTL=126
Reply from 192.168.20.254:
bytes=32 time=143ms TTL=126
Reply from 192.168.20.254:
bytes=32 time=156ms TTL=126
Reply from 192.168.20.254:
bytes=32 time=125ms TTL=126
Ping statistics for
192.168.20.254:
Packets: Sent = 4, Received = 4, Lost = 0
(0% loss),
Approximate round trip times
in milli-seconds:
Minimum = 110ms, Maximum = 156ms, Average =
133ms
- Sau khi có ACL máy tính PC1
không thể telnet đến router 3
PC1>telnet 10.2.2.2
Trying 10.2.2.2 ...
% Connection timed out;
remote host not responding
PC1>telnet 192.168.30.1
Trying 192.168.30.1 ...
% Connection timed out;
remote host not responding
ð Kiểm tra hoạt động của ACL
Router1#show access-lists
Extended IP access list 102
deny ip 192.168.10.0 0.0.0.255 host
200.200.200.1 (12 match(es))
deny tcp 192.168.11.0 0.0.0.255
192.168.20.0 0.0.0.255 eq www (46 match(es))
deny tcp 192.168.10.0 0.0.0.255 host
10.2.2.2 eq telnet (22 match(es))
deny tcp 192.168.10.0 0.0.0.255 host
192.168.30.1 eq telnet (22 match(es))
permit ip any any (24 match(es))
Công việc 5
: Viết Name ACL
§ Cấm tất cả các máy tính thuộc đường mạng 192.168.30.0
ping đến server 192.168.20.254 nhưng truy cập web đến server này thì được phép.
ð Kiểm tra trước khi viết ACL
PC3>ping 192.168.20.254
Pinging 192.168.20.254 with
32 bytes of data:
Reply from 192.168.20.254:
bytes=32 time=140ms TTL=126
Reply from 192.168.20.254:
bytes=32 time=173ms TTL=126
Reply from 192.168.20.254:
bytes=32 time=142ms TTL=126
Reply from 192.168.20.254: bytes=32
time=125ms TTL=126
Ping statistics for
192.168.20.254:
Packets: Sent = 4, Received = 4, Lost = 0
(0% loss),
Approximate round trip times
in milli-seconds:
Minimum = 125ms, Maximum = 173ms, Average =
145ms
ð Viết ACL trên router 3 và áp vào interface serial S0/3/0 theo chiều
OUT
Router3(config)#ip access-list extended cam_ping
Router3(config-ext-nacl)#deny icmp 192.168.30.0
0.0.0.255 host 192.168.20.254 echo
Router3(config-ext-nacl)#permit ip any any
Router3(config)#interface s0/3/0
Router3(config-if)#ip access-group cam_ping out
ð Kiểm tra sau khi viết ACL
Sau khi có ACL thì các máy tính
thuộc đường mạng 192.168.30.0/24 không thể ping đến đến server 192.168.20.254
nhưng truy cập web đến server này thì vẫn được.
PC3>ping 192.168.20.254
Pinging 192.168.20.254 with
32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for
192.168.20.254:
Packets: Sent = 4, Received = 0, Lost = 4
(100% loss),
ð Kiểm tra hoạt động của ACL
Router3#show access-lists
Standard IP access list 1
deny 192.168.11.0 0.0.0.255 (9 match(es))
permit any (639 match(es))
Extended IP access list cam_ping
deny icmp 192.168.30.0 0.0.0.255 host
192.168.20.254 echo (4 match(es))
permit ip any any (6 match(es))
Công việc 6
: Điều khiển truy cập tới line VTY (telnet)
§ Cấu hình chỉ cho phép các host thuộc 2 mạng 10.2.2.0/30 và
192.168.30.0/24 telnet đến Router 2.
ð Viết ACL trên router 2 và áp vào line vty của router 2 theo chiều IN
Router2(config)#ip access-list standard cho_telnet
Router2(config-std-nacl)#permit 10.2.2.0 0.0.0.3
Router2(config-std-nacl)#permit 192.168.30.0 0.0.0.255
Router2(config)#line vty 0 10
Router2(config-line)#access-class cho_telnet in
ð Kiểm tra sau khi viết ACL
Telnet từ PC1 thì bị cấm
PC1>telnet 10.1.1.2
Trying 10.1.1.2 ...
% Connection refused by
remote host
Telnet từ PC2 thì bị cấm
PC2>telnet 10.1.1.2
Trying 10.1.1.2 ...
% Connection refused by
remote host
Telnet từ router 1 thì bị cấm
Router1#telnet 10.1.1.2
Trying 10.1.1.2 ...
% Connection refused by
remote host
Telnet từ router 3 thì được
phép
Router3#telnet 10.2.2.1
Trying 10.2.2.1 ...
User Access Verification
Password:
Router2>
Telnet từ PC3 thì được phép
PC3>telnet 10.2.2.1
Trying 10.2.2.1 ...
User Access Verification
Password:
Router2>
ð Kiểm tra hoạt động của ACL
Router2#show access-lists
Standard IP access list
cho_telnet
permit 10.2.2.0 0.0.0.3 (4 match(es))
permit 192.168.30.0 0.0.0.255 (6 match(es))
|
|
|
