Tweet
EXTENDED ACCESS-LIST EXAMPLE ON CISCO ROUTER (P1)
Trong bài học này, VnPro sẽ đề cập đến extended access-list. Đây là sơ đồ mạng mà chúng ta sẽ sử dụng:
Sử dụng extended access-list, chúng ta có thể tạo ra các câu lệnh phức tạp hơn nhiều. Giả sử chúng ta có yêu cầu sau:
Vnpro sẽ cấu hình từng bước cho yêu cầu thứ nhất:
R2(config)#access-list 100 permit tcp 1.1.1.0 0.0.0.255 host 2.2.2.2 eq 80
Giải thích từng thành phần trong câu lệnh:
Nếu bạn nhập "0.0.0.0 255.255.255.255", bạn có tất cả các mạng. Thay vì nhập điều này, chúng ta có thể sử dụng từ khóa any.
Nếu bạn nhập một thứ gì đó như "2.2.2.2 0.0.0.0", chúng ta đang khớp với một địa chỉ IP duy nhất. Thay vì nhập ký tự đại diện "0.0.0.0", chúng ta có thể sử dụng từ khóa host. )
R2(config)#access-list 100 deny ip any any log
Chúng ta sẽ áp dụng nó cho giao diện đến(interface inbound).
R2(config)#interface Fastethernet 0/0
R2(config-if)#ip access-group 100 in
Đừng quên bật máy chủ HTTP:
R2(config)#ip http server
Bây giờ hãy tạo ra lưu lượng truy cập bằng cách telnet đến địa chỉ 2.2.2.2
R1#telnet 2.2.2.2 80
Ra được kết quả như sau:
R1#telnet 2.2.2.2 80
Trying 2.2.2.2, 80 ...
% Destination unreachable; gateway or host down
VnPro không cần trình duyệt web để kiểm tra xem máy chủ HTTP có đang chạy hay không. VnPro có thể sử dụng telnet để kết nối với cổng TCP 80. Lưu lượng truy cập trên bị từ chối, bạn sẽ thấy trên bảng điều khiển của R2:
Hoặc chúng ta có thể xem xét các kết quả phù hợp trên danh sách truy cập với lệnh show access-list
Gói đã bị từ chối vì địa chỉ IP nguồn là 192.168.12.1. Hãy kết nối từ địa chỉ IP 1.1.1.1:
R1#2.2.2.2 80 /source-interface loopback0
Nó hiển thị như dòng này có nghĩa là nó đã kết nối.
Trying 2.2.2.2, 80 ... Open
Khi chúng ta sử dụng telnet, chúng ta có thể chọn giao diện nguồn(source interface). Gói bây giờ được phép vì nó khớp với câu lệnh đầu tiên của danh sách truy cập(access-list).
Nếu VnPro muốn xóa một câu lệnh duy nhất khỏi danh sách truy cập của mình, VnPro có hai lựa chọn:
R2(config)# access-list extended 100
Sử dụng lệnh ip access-list để tạo danh sách truy cập mới hoặc sửa đổi danh sách truy cập hiện tại. Bảng điều khiển của bạn sẽ trông như thế này:
R2(config-ext-nacl)#
Bây giờ chúng ta có thể thêm hoặc xóa các câu lệnh:
R2(config-ext-nacl)#?
Ext Access List configuration commands:
<1-2147483647> Sequence Number
default Set a command to its defaults
deny Specify packets to reject
dynamic Create a DYNAMIC list of PERMITS or DENYs
evaluate Evaluate an access list
exit Exit from access-list configuration mode
no Negate a command or set its defaults
permit Specify packets to forward
remark Access list entry comment
Hãy xóa câu lệnh 20 khỏi danh sách truy cập 100:
Nhập no trước số thứ tự và nó sẽ biến mất:
R2(config-ext-nacl)# no 20
Sau khi xóa thì kết quả của lệnh do show access-list 100 sẽ hiển thị như sau:
Trong bài học này, VnPro sẽ đề cập đến extended access-list. Đây là sơ đồ mạng mà chúng ta sẽ sử dụng:
Sử dụng extended access-list, chúng ta có thể tạo ra các câu lệnh phức tạp hơn nhiều. Giả sử chúng ta có yêu cầu sau:
- Lưu lượng truy cập từ mạng 1.1.1.0/24 được phép kết nối với máy chủ HTTP trên R2, nhưng chúng chỉ được phép kết nối với địa chỉ IP 2.2.2.2.
- Tất cả lưu lượng truy cập khác phải bị từ chối.
| [source] + [source port] to [destination] + [desination port] |
R2(config)#access-list 100 permit tcp 1.1.1.0 0.0.0.255 host 2.2.2.2 eq 80
Giải thích từng thành phần trong câu lệnh:
- Đầu tiên, chúng ta cần chọn permit hoặc deny. Nhân tiện, bạn cũng có thể sử dụng remark. Bạn có thể sử dụng điều này để thêm remark vào các câu lệnh access-list(danh sách kiểm soát truy cập) của mình. VnPro sẽ chọn permit..
- Cho phép lưu lượng truy cập HTTP, chúng ta sẽ phải chọn TCP.
- Tiếp tục chúng ta phải chọn một nguồn. VnPro có thể nhập địa chỉ mạng với ký tự đại diện hoặc VnPro có thể sử dụng từ khóa any hoặc host. Hai từ khóa này là "lối tắt".
Nếu bạn nhập "0.0.0.0 255.255.255.255", bạn có tất cả các mạng. Thay vì nhập điều này, chúng ta có thể sử dụng từ khóa any.
Nếu bạn nhập một thứ gì đó như "2.2.2.2 0.0.0.0", chúng ta đang khớp với một địa chỉ IP duy nhất. Thay vì nhập ký tự đại diện "0.0.0.0", chúng ta có thể sử dụng từ khóa host. )
- VnPro sẽ chọn mạng 1.1.1.0/24 làm nguồn.
- Bên cạnh việc chọn nguồn, chúng ta cũng có thể chọn số cổng(port) nguồn. Hãy nhớ rằng khi VnPro kết nối từ R1 đến máy chủ HTTP của R2, số cổng nguồn của VnPro sẽ ngẫu nhiên, vì vậy VnPro sẽ không chỉ định số cổng nguồn ở đây.
- Chọn đích là địa chỉ IP 2.2.2.2. VnPro có thể đã nhập "2.2.2.2 0.0.0.0" nhưng dễ hơn khi sử dụng từ khóa host. Bên cạnh địa chỉ IP đích, chúng ta có thể chọn số cổng đích với từ khóa eq:
R2(config)#access-list 100 deny ip any any log
Chúng ta sẽ áp dụng nó cho giao diện đến(interface inbound).
R2(config)#interface Fastethernet 0/0
R2(config-if)#ip access-group 100 in
Đừng quên bật máy chủ HTTP:
R2(config)#ip http server
Bây giờ hãy tạo ra lưu lượng truy cập bằng cách telnet đến địa chỉ 2.2.2.2
R1#telnet 2.2.2.2 80
Ra được kết quả như sau:
R1#telnet 2.2.2.2 80
Trying 2.2.2.2, 80 ...
% Destination unreachable; gateway or host down
VnPro không cần trình duyệt web để kiểm tra xem máy chủ HTTP có đang chạy hay không. VnPro có thể sử dụng telnet để kết nối với cổng TCP 80. Lưu lượng truy cập trên bị từ chối, bạn sẽ thấy trên bảng điều khiển của R2:
Hoặc chúng ta có thể xem xét các kết quả phù hợp trên danh sách truy cập với lệnh show access-list
Gói đã bị từ chối vì địa chỉ IP nguồn là 192.168.12.1. Hãy kết nối từ địa chỉ IP 1.1.1.1:
R1#2.2.2.2 80 /source-interface loopback0
Nó hiển thị như dòng này có nghĩa là nó đã kết nối.
Trying 2.2.2.2, 80 ... Open
Khi chúng ta sử dụng telnet, chúng ta có thể chọn giao diện nguồn(source interface). Gói bây giờ được phép vì nó khớp với câu lệnh đầu tiên của danh sách truy cập(access-list).
Nếu VnPro muốn xóa một câu lệnh duy nhất khỏi danh sách truy cập của mình, VnPro có hai lựa chọn:
- Sao chép danh sách truy cập của bạn vào notepad, chỉnh sửa nó và dán nó trở lại router của bạn và sử dụng một danh sách truy cập mới..
- Sử dụng trình chỉnh sửa danh sách truy cập.
R2(config)# access-list extended 100
Sử dụng lệnh ip access-list để tạo danh sách truy cập mới hoặc sửa đổi danh sách truy cập hiện tại. Bảng điều khiển của bạn sẽ trông như thế này:
R2(config-ext-nacl)#
Bây giờ chúng ta có thể thêm hoặc xóa các câu lệnh:
R2(config-ext-nacl)#?
Ext Access List configuration commands:
<1-2147483647> Sequence Number
default Set a command to its defaults
deny Specify packets to reject
dynamic Create a DYNAMIC list of PERMITS or DENYs
evaluate Evaluate an access list
exit Exit from access-list configuration mode
no Negate a command or set its defaults
permit Specify packets to forward
remark Access list entry comment
Hãy xóa câu lệnh 20 khỏi danh sách truy cập 100:
Nhập no trước số thứ tự và nó sẽ biến mất:
R2(config-ext-nacl)# no 20
Sau khi xóa thì kết quả của lệnh do show access-list 100 sẽ hiển thị như sau: