Tweet
EXTENDED ACCESS-LIST EXAMPLE ON CISCO ROUTER (2)
Vnpro sẽ tiếp tục bài học về chủ đề này. Theo mô hình ở phần trước, Vnpro sẽ tiếp tục thực hiện cấu hình
Các bước cấu hình cơ bản đã được thực hiện ở phần trước.
Chúng ta cũng có thể tạo một danh sách truy cập(access-list) được đặt tên. Hãy tạo một thứ gì đó từ chối lưu lượng truy cập ICMP từ R2 đến giao diện loopback0 của R1 nhưng cho phép mọi thứ khác.
Danh sách truy cập(access-list) sẽ trông như thế này. VnPro sẽ gọi nó là "DROPICMP". Câu lệnh đầu tiên sẽ loại bỏ lưu lượng truy cập ICMP từ địa chỉ IP 192.168.12.2 và dòng thứ hai là cho địa chỉ IP 2.2.2.2. Tất cả lưu lượng truy cập khác được cho phép.
R1(config)# ip access-list extended DROPICMP
R1(config-ext-nacl)# deny icmp host 192.168.12.2 1.1.1.0 0.0.0.255
R1(config-ext-nacl)# deny icmp host 2.2.2.2 1.1.1.0 0.0.0.255
R1(config-ext-nacl)# permit ip any any
R1(config-ext-nacl)# end
Hãy áp dụng nó cho giao diện(interface):
R1(config)# interface FastEthernet0/0
R1(config-if)# ip address 192.168.12.1 255.255.255.0
R1(config-if)# ip access-group DROPICMP in
Bây giờ hãy kiểm tra nó
Ping đầu tiên đang thất bại và nó phải như vậy:
Và ping thứ hai cũng thất bại...
Hãy làm một điều gì đó để có được một kết quả phù hợp trên câu lệnh cuối cùng:
R2# ping 1.1.1.1
Trying 1.1.1.1 ...
VnPro đã không cấu hình telnet trên R1 nhưng các gói của VnPro sẽ trúng câu lệnh cuối cùng dù sao đi nữa. Đó là tất cả những gì VnPro muốn cho bạn thấy về danh sách truy cập mở rộng(extended access-list). Sẽ mất một thời gian để làm quen với việc đọc và tạo các danh sách truy cập này. Chỉ cần đảm bảo bạn thực hành nhiều và nó sẽ trở nên dễ dàng.
Đây là cấu hình hoàn chỉnh của mỗi thiết bị:
R1:
Router(config)# hostname R1
R1(config)# interface FastEthernet0/0
R1(config-if)# no shutdown
R1(config-if)# ip address 192.168.12.1 255.255.255.0
R1(config-if)# ip access-group DROPICMP in
R1(config-if)# interface Loopback0
R1(config-if)# no shutdown
R1(config-if)# ip address 1.1.1.1 255.255.255.255
R1(config)# ip access-list extended DROPICMP
R1(config-ext-nacl)# deny icmp host 192.168.12.2 1.1.1.0 0.0.0.255
R1(config-ext-nacl)# deny icmp host 2.2.2.2 1.1.1.0 0.0.0.255
R1(config-ext-nacl)# permit ip any any
R1(config-ext-nacl)# end
R2:
Router(config)# hostname R2
R2(config)# interface FastEthernet0/0
R2(config-if)# ip address 192.168.12.2 255.255.255.0
R2(config-if)# ip access-group 100 in
R2(config-if)# no shutdown
R2(config)# interface Loopback0
R2(config-if)# ip address 2.2.2.2 255.255.255.255
R2(config-if)# no shutdown
R2(config)# ip route 1.1.1.0 255.255.255.255 192.168.12.1
R2(config)# access-list 100 permit tcp 1.1.1.0 0.0.0.255 host 2.2.2.2 eq 80
R2(config)# access-list 100 deny ip any any log
R2(config)# end
Vnpro sẽ tiếp tục bài học về chủ đề này. Theo mô hình ở phần trước, Vnpro sẽ tiếp tục thực hiện cấu hình
Các bước cấu hình cơ bản đã được thực hiện ở phần trước.
Chúng ta cũng có thể tạo một danh sách truy cập(access-list) được đặt tên. Hãy tạo một thứ gì đó từ chối lưu lượng truy cập ICMP từ R2 đến giao diện loopback0 của R1 nhưng cho phép mọi thứ khác.
Danh sách truy cập(access-list) sẽ trông như thế này. VnPro sẽ gọi nó là "DROPICMP". Câu lệnh đầu tiên sẽ loại bỏ lưu lượng truy cập ICMP từ địa chỉ IP 192.168.12.2 và dòng thứ hai là cho địa chỉ IP 2.2.2.2. Tất cả lưu lượng truy cập khác được cho phép.
R1(config)# ip access-list extended DROPICMP
R1(config-ext-nacl)# deny icmp host 192.168.12.2 1.1.1.0 0.0.0.255
R1(config-ext-nacl)# deny icmp host 2.2.2.2 1.1.1.0 0.0.0.255
R1(config-ext-nacl)# permit ip any any
R1(config-ext-nacl)# end
Hãy áp dụng nó cho giao diện(interface):
R1(config)# interface FastEthernet0/0
R1(config-if)# ip address 192.168.12.1 255.255.255.0
R1(config-if)# ip access-group DROPICMP in
Bây giờ hãy kiểm tra nó
Ping đầu tiên đang thất bại và nó phải như vậy:
Và ping thứ hai cũng thất bại...
Hãy làm một điều gì đó để có được một kết quả phù hợp trên câu lệnh cuối cùng:
R2# ping 1.1.1.1
Trying 1.1.1.1 ...
VnPro đã không cấu hình telnet trên R1 nhưng các gói của VnPro sẽ trúng câu lệnh cuối cùng dù sao đi nữa. Đó là tất cả những gì VnPro muốn cho bạn thấy về danh sách truy cập mở rộng(extended access-list). Sẽ mất một thời gian để làm quen với việc đọc và tạo các danh sách truy cập này. Chỉ cần đảm bảo bạn thực hành nhiều và nó sẽ trở nên dễ dàng.
Đây là cấu hình hoàn chỉnh của mỗi thiết bị:
R1:
Router(config)# hostname R1
R1(config)# interface FastEthernet0/0
R1(config-if)# no shutdown
R1(config-if)# ip address 192.168.12.1 255.255.255.0
R1(config-if)# ip access-group DROPICMP in
R1(config-if)# interface Loopback0
R1(config-if)# no shutdown
R1(config-if)# ip address 1.1.1.1 255.255.255.255
R1(config)# ip access-list extended DROPICMP
R1(config-ext-nacl)# deny icmp host 192.168.12.2 1.1.1.0 0.0.0.255
R1(config-ext-nacl)# deny icmp host 2.2.2.2 1.1.1.0 0.0.0.255
R1(config-ext-nacl)# permit ip any any
R1(config-ext-nacl)# end
R2:
Router(config)# hostname R2
R2(config)# interface FastEthernet0/0
R2(config-if)# ip address 192.168.12.2 255.255.255.0
R2(config-if)# ip access-group 100 in
R2(config-if)# no shutdown
R2(config)# interface Loopback0
R2(config-if)# ip address 2.2.2.2 255.255.255.255
R2(config-if)# no shutdown
R2(config)# ip route 1.1.1.0 255.255.255.255 192.168.12.1
R2(config)# access-list 100 permit tcp 1.1.1.0 0.0.0.255 host 2.2.2.2 eq 80
R2(config)# access-list 100 deny ip any any log
R2(config)# end