bạn thử đọc một bài lab minh họa cách dùng ACL.

Mục tiêu: Cấu hình ACL cho phép các kết nối FTP và WWW đến các server cụ thể. Không chặn các traffic cần thiết (routing, v …v).
Mô hình:


Hướng dẫn:
• Dùng NAT tĩnh để cấu hình. Server được đề cập ở trên có IP 150.1.4.4.
• Cho phép các kết nối TCP đến các port của FTP và WWW service. Cả Active và Passive FTP đều hoạt động.
• Cho phép OSPF, Ping, và Traceroutes traffic trên cả hai hướng inbound và outbound.
• Ping sử dụng các thông điệp ICMP ‘echo’ và ‘echo-reply’.
• Traceroutes mặc định sử dụng dãy UDP port 33434 – 33464 để thăm dò mạng, và chờ các thông điệp ICMP ‘Time-Exceeded’ hoặc ‘Port-Unreachable’.
• Active FTP sử dụng TCP port 21 cho kết nối inbound và port 20 cho kết nối outbound (server to client).
• Passive FTP: client mở kết nối data đến các port trong dãy 1023 – 65535 (client to server).
• Tạo extended access-list FROM_OUTSIDE trên R4 cho phép tất cả các kết nối đề cập ở trên.
• Add ‘deny ip any any log’ ở cuối ACL để ghi lại các packet bị dừ chối.
• Apply ACL lên các interface outside của R4.

Cấu hình tham khảo:
Bước 1: Cấu hình cơ bản: địa chỉ IP, định tuyến OSPF, NAT tĩnh

Router R4

interface Loopback0
ip address 150.1.4.4 255.255.255.0
ip ospf network point-to-point
!
interface FastEthernet0/0
ip address 155.1.45.4 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.0.0.4 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
router ospf 1
log-adjacency-changes
network 150.1.4.0 0.0.0.255 area 0
network 155.1.45.0 0.0.0.255 area 0
!
ip nat inside source static 10.0.0.1 150.1.4.4

Router R5

interface Loopback0
ip address 150.1.5.5 255.255.255.0
!
interface FastEthernet0/0
ip address 155.1.45.5 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
router ospf 1
log-adjacency-changes
network 150.1.5.0 0.0.0.255 area 0
network 155.1.45.0 0.0.0.255 area 0

Router R1

interface FastEthernet0/0
ip address 10.0.0.1 255.255.255.0
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.0.0.4

Bước 2: Cấu hình extended access-list FROM_OUTSIDE trên R4

ip access-list extended FROM_OUTSIDE
permit icmp any any echo
permit icmp any any echo-reply
permit udp any any range 33434 33464
permit icmp any any time-exceeded
permit icmp any any port-unreachable
permit ospf any any
permit tcp any host 150.1.4.4 range ftp-data ftp
permit tcp any host 150.1.4.4 range 1023 65535
permit tcp any host 150.1.4.4 eq www
deny ip any any log

Apply ACL lên các interface outside của R4

interface FastEthernet0/0
ip access-group FROM_OUTSIDE in

Bước 3: Cấu hình R1 thành FTP server và HTTP server

R1(config)#ip http server
R1(config)#ftp-server enable
R1(config)#ftp-server topdir flash:

Tạo file test.txt trên R1 để kiểm tra FTP

R1#copy running-config flash:test.txt
Destination filename [test.txt]?
Erase flash: before copying? [confirm]n
Verifying checksum... OK (0xC5CD)
910 bytes copied in 6.647 secs (137 bytes/sec)

Bước 4: Kiểm tra

R5#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R5(config)#no ip ftp passive
R5#copy ftp://150.1.4.1/test.txt null:
Accessing ftp://150.1.4.1/test.txt...
Loading test.txt !
[OK - 910/4096 bytes]

910 bytes copied in 2.560 secs (355 bytes/sec)

R5#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R5(config)#ip ftp passive
R5(config)#do copy ftp://150.1.4.1/test.txt null:
Accessing ftp://150.1.4.1/test.txt...
Loading test.txt !
[OK - 910/4096 bytes]

910 bytes copied in 2.584 secs (352 bytes/sec)
R5(config)#

R5#telnet 150.1.4.1 80
Trying 150.1.4.1, 80 ... Open

R5#disc 1
Closing connection to 150.1.4.1 [confirm]

R5#telnet 150.1.4.1
Trying 150.1.4.1 ...
% Destination unreachable; gateway or host down
------------------------------------
Thực hiện:
Phạm Đình Thông
Hoàng Tùng Linh
Nguyễn Thị Mai Trang.

Thầy của em đây mà ^_^

@thanhtam :

ping dùng giao thức ICMP, trong gói ICMP gồm 2 phần : tracert + echo, ở đây bạn chỉ cần cấm ping thì chỉ cần cấm echo thôi :

VD : cấm tất cả ping tới 192.168.10.0 /24

access-list 111 deny icmp any 192.168.10.0 0.0.0.255 echo

number ACL : 111
policy : permit / deny
protocol : icmp
source IP : any
destination IP : 192.168.10.0 /24

tai sao tren cung mot duong mang vd access-list 1 deny 192.168.10.10
access-list 1 permit 192.168.10.0 0.0.0.255
interface fa0/0
ip access-group 1 in
end ma duong mang 192.168.10.0 bi chan luon tai sao?

neu e hoc ccna va mcsa co the di xin viec de khong va luong khoang dc bao nhieu cac ban nao biet cho minh y kien nha

nhầm chủ để rồi bạn. Việc học CCNA hay MCSA là phụ thuộc vào tính chất của công việc, nhu cầu của công ty. Tuy nhiên công ty lớn thì cần cả hai ví dụ như ngân Hàng, chứng khoán, bảo hiểm ....

to: dangquangminh
phải chi bài lab có thêm cái mô hình thì hay biết mấy anh minh nhỉ .

Cảm ơn anh và mọi người

Bac phuong9009 phai cho xem toan bo file cau hinh moi biet chinh xac tai sao chu?