Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Lab 4-2: Extended Access-List (with file .net)

Collapse
This is a sticky topic.
X
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Lab 4-2: Extended Access-List (with file .net)

    Nguồn: Sách CCNA Labpro

    LAB 4-2: EXTENDED ACCESS-LIST


    Mô tả:
    –Lab này mô tả cách lọc các gói sử dụng extended access-list. Router A cho phép tất cả lưu lưu lượng từ PCC (150.1.1.2) đến PCA (152.1.1.2) và từ chối tất cả các lưu lượng từ PCC (150.1.1.2) tới PCB (152.1.1.3). Extened Access-list được sử dụng vì cần lọc trên cả địa chỉ IP nguồn và đích.
    –Router A và RouterB nối bằng đường serial và đặt địa chỉ IP như trên hình. RouterA và RouterB có địa chỉ IP secondary tạo trên cổng Ethernet để làm điểm kiểm tra.
    –Access-list được dùng để lọc ngõ vào trên cổng serial của RouterA, cho phép các gói từ PCC 150.1.1.2 tới PCA và không cho phép các gói từ PCC tới PCB.
    Cấu hình:
    Router A:
    !
    hostname RouterA
    !
    no ip domain-lookup
    !
    interface Ethernet0
    ip address 152.1.1.2 255.255.255.0 secondary ← Địa chỉ IP thứ hai để làm điểm kiểm tra
    ip address 152.1.1.3 255.255.255.0 secondary
    ip address 152.1.1.1 255.255.255.0
    no keepalive ← vô hiệu hóa keepalive trên router cho phép cổng ethernet0 vẫn up khi không kết nối ra bên ngoài
    !
    interface Serial0
    ip address 195.1.1.4 255.255.255.0
    ip access-group 100 in ← Dùng Access-list 100 cho tất cả lưu lượng vào trên đường serial0
    !
    no ip classless
    ip route 150.1.1.0 255.255.255.0 Serial0 ← dùng định tuyến tĩnh (không dùng định tuyến động)
    ip route 151.1.1.1 255.255.255.255 Serial0

    access-list 100 permit ip host 150.1.1.2 host 152.1.1.2 log ← tổng hợp các bản tin thông tin về các gói thoả điều kiện.
    access-list 100 deny ip host 150.1.1.2 host 152.1.1.3 log ← Loại tất cả các gói IP từ 150.1.1.2 tới 152.1.1.3; tổng hợp bản tin thông báo về các gói thoả điều kiện.
    (Chú ý: tất cả các gói khác ngầm hiểu là bị loại bỏ; tất cả các access list đều kết thúc bằng câu lệnh loại bỏ tất cả)
    !
    !
    line con 0
    line vty 0 4
    login
    !
    end


    Router B:
    !
    hostname RouterB
    !
    interface Loopback0
    ip address 150.1.1.1 255.255.255.255
    !
    interface Ethernet0
    ip address 150.1.1.2 255.255.255.0 secondary
    ip address 150.1.1.1 255.255.255.0
    no keepalive
    !
    interface Serial0
    ip address 195.1.1.10 255.255.255.0
    clock rate 64000
    !
    no ip classless
    ip route 152.1.1.0 255.255.255.0 Serial0
    !
    line con 0
    line vty 0 3
    login
    !
    end

    Chú ý:Khi tạo access list tất cả các mục tuần tự theo thứ tự như khi ta đánh vào. Tất cả các câu lệnh thêm vào sau đó sẽ đặt ở vị trí tiếp của access list. Cuối access list luôn có câu lệnh loại bỏ tất cả, do đó một access list phải có ít nhất một lệnh permit. Tốt nhất là soạn thảo access list trước (dùng Notepad chẳng hạn) sau đó cut và paste vào CLI của router.

    Kiểm tra:
    - Sử dụng ping mở rộng (extended ping) trên RouterB hướng gói tới các địa chỉ IP secondary tạo ra trong cấu hình dùng địa chỉ nguồn khác nhau (cách này dùng thay cho nhiều PC ở trong mạng LAN của RouterA và RouterB).
    1. Từ RouterB, ping 152.1.1.3 dùng nguồn là 1501.1.2
    –Dùng lệnh debug ip packet trên RouterA, ta thấy các gói bị loại bỏ và bản tin ICMP host unreachable được gởi
    IP: s=150.1.1.2 (Serial0), d=152.1.1.3, len 100, access denied
    IP: s=195.1.1.4 (local), d=150.1.1.2 (Serial0), len 56, sending ← ICMP host unreachable

    –Dùng lệnh show ip access-list trên RouterA. Chú ý các dòng hiển thị chỉ loại access list và số các điều kiện thoả của mỗi mục.
    RouterA#show ip access-lists
    Extended IP access list 100
    permit ip host 150.1.1.2 host 152.1.1.2 log (5 matches)
    deny ip host 150.1.1.2 host 152.1.1.3 log (105 matches)
    –Tùy chọn log sẽ tổng hợp các bản tin thông báo mọi gói thoả điều kiện. Từ khóa log được đặt ở cuối câu lệnh access-list. Bản tin logging là công cụ tốt để kiểm soát lỗi access list.
    SEC-6-IPACCESSLOGDP: list 100 denied icmp 150.1.1.2 -> 152.1.1.3 (0/0). 4 packets

    2. Từ RouterB, ping 152.1.1.3 dùng nguồn 150.1.1.2
    –Tại RouterA, lệnh debug ip packet hiển thị trên RouterA, ta có thể thấy các gói được cho phép.
    IP: s=150.1.1.2 (Serial0), d=152.1.1.2, len 100, rcvd 7

    –Dùng lệnh show ip access-list để xem số lượng các gói thoã điều kiện.
    RouterA# show ip access-lists
    Extended IP access list 100
    permit ip host 150.1.1.2 host 152.1.1.2 log (308 matches)
    deny ip host 150.1.1.2 host 152.1.1.3 log
    Email : vnpro@vnpro.org
    ---------------------------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog

  • #2
    dai ca cho em hoi cai : file.net la cai gi the , neu muon co thi tai o dau vay

    Comment


    • #3
      hay lém,mình rất kết bài này

      Comment


      • #4
        làm thế nào để cấm các máy ngoài mạng Ping vào mạng của mình được ? thank you

        Comment


        • #5
          Bạn có thề làm như thế này
          đặt thệm một access-list mới . VD:
          access-list 101 deny icmp any <mạng bên trong của mình>.
          access-list 101 permit ip any any.

          sau đó ta vào cổng nối với mạng ngoài apply theo chiều in. vd :cổng fa0/1
          int fa0/1
          ip access-group 101 in

          và cổng đi vào mạng trog của mình ở ngay trên router trên . VD cổng fa0/0
          int fa0/0
          ip access-group 101 out

          CHúc bạn vui
          Trần Mỹ Phúc
          tranmyphuc@hotmail.com
          Hãy add nick để có thông tin đề thi mới nhất :tranmyphuc (Hỗ trợ tối đa cho các bạn tự học)

          Cisco Certs : CCNP (Passed TSHOOT 1000/1000)

          Juniper Certs :
          JNCIP-ENT & JNCIP-SEC
          INSTRUCTORS (No Fee) : CISCO (Professional) , JUNIPER (Professional) , Microsoft ...

          [version 4.0] Ôn tập CCNA


          Comment


          • #6
            Originally posted by dongthong View Post
            dai ca cho em hoi cai : file.net la cai gi the , neu muon co thi tai o dau vay

            có cùng câu hỏi này? không ai trả lời dùm à???hixx

            Comment


            • #7
              Chào bạn,

              File *.net ở đây ý nói do phần mềm giả lập GNS3 hoặc dynagen tạo ra. File này chứa mô hình mạng do bạn cấu hình gồm router, switch, firewall, ...
              Phạm Minh Tuấn

              Email : phamminhtuan@vnpro.org
              Yahoo : phamminhtuan_vnpro
              -----------------------------------------------------------------------------------------------
              Trung Tâm Tin Học VnPro
              149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
              Tel : (08) 35124257 (5 lines)
              Fax: (08) 35124314

              Home page: http://www.vnpro.vn
              Support Forum: http://www.vnpro.org
              - Chuyên đào tạo quản trị mạng và hạ tầng Internet
              - Phát hành sách chuyên môn
              - Tư vấn và tuyển dụng nhân sự IT
              - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

              Network channel: http://www.dancisco.com
              Blog: http://www.vnpro.org/blog

              Comment


              • #8
                Bài này có hình đâu. Ai post bài này nhưng thiếu hình thì phải. Cho mô hình cho dễ nhìn được không ạ

                Comment


                • #9
                  anh ơi post dùm em cái topo với nào???

                  Comment


                  • #10
                    trời ơi cái hình nó đi mất tiêu rồi :(( ai làm ơn post hộ cái hình lên cái.

                    Comment


                    • #11
                      Các mod làm ơn up mấy cái hình lên đi

                      Comment


                      • #12
                        Hình của các bạn đây (post lại bài của mod để các bạn dễ làm hen)

                        Các PCA, PCB, PCC thực tế trong bài lab là những PC ảo (ip secondary trên router)

                        LAB 4-2: EXTENDED ACCESS-LIST

                        Mô tả:
                        –Lab này mô tả cách lọc các gói sử dụng extended access-list. Router A cho phép tất cả lưu lưu lượng từ PCC (150.1.1.2) đến PCA (152.1.1.2) và từ chối tất cả các lưu lượng từ PCC (150.1.1.2) tới PCB (152.1.1.3). Extened Access-list được sử dụng vì cần lọc trên cả địa chỉ IP nguồn và đích.
                        –Router A và RouterB nối bằng đường serial và đặt địa chỉ IP như trên hình. RouterA và RouterB có địa chỉ IP secondary tạo trên cổng Ethernet để làm điểm kiểm tra.
                        –Access-list được dùng để lọc ngõ vào trên cổng serial của RouterA, cho phép các gói từ PCC 150.1.1.2 tới PCA và không cho phép các gói từ PCC tới PCB.
                        Cấu hình:
                        Router A:
                        !
                        hostname RouterA
                        !
                        no ip domain-lookup
                        !
                        interface Ethernet0
                        ip address 152.1.1.2 255.255.255.0 secondary ← Địa chỉ IP thứ hai để làm điểm kiểm tra
                        ip address 152.1.1.3 255.255.255.0 secondary
                        ip address 152.1.1.1 255.255.255.0
                        no keepalive ← vô hiệu hóa keepalive trên router cho phép cổng ethernet0 vẫn up khi không kết nối ra bên ngoài
                        !
                        interface Serial0
                        ip address 195.1.1.4 255.255.255.0
                        ip access-group 100 in ← Dùng Access-list 100 cho tất cả lưu lượng vào trên đường serial0
                        !
                        no ip classless
                        ip route 150.1.1.0 255.255.255.0 Serial0 ← dùng định tuyến tĩnh (không dùng định tuyến động)
                        ip route 151.1.1.1 255.255.255.255 Serial0

                        access-list 100 permit ip host 150.1.1.2 host 152.1.1.2 log ← tổng hợp các bản tin thông tin về các gói thoả điều kiện.
                        access-list 100 deny ip host 150.1.1.2 host 152.1.1.3 log ← Loại tất cả các gói IP từ 150.1.1.2 tới 152.1.1.3; tổng hợp bản tin thông báo về các gói thoả điều kiện.
                        (Chú ý: tất cả các gói khác ngầm hiểu là bị loại bỏ; tất cả các access list đều kết thúc bằng câu lệnh loại bỏ tất cả)
                        !
                        !
                        line con 0
                        line vty 0 4
                        login
                        !
                        end


                        Router B:
                        !
                        hostname RouterB
                        !
                        interface Loopback0
                        ip address 150.1.1.1 255.255.255.255
                        !
                        interface Ethernet0
                        ip address 150.1.1.2 255.255.255.0 secondary
                        ip address 150.1.1.1 255.255.255.0
                        no keepalive
                        !
                        interface Serial0
                        ip address 195.1.1.10 255.255.255.0
                        clock rate 64000
                        !
                        no ip classless
                        ip route 152.1.1.0 255.255.255.0 Serial0
                        !
                        line con 0
                        line vty 0 3
                        login
                        !
                        end
                        Chú ý:Khi tạo access list tất cả các mục tuần tự theo thứ tự như khi ta đánh vào. Tất cả các câu lệnh thêm vào sau đó sẽ đặt ở vị trí tiếp của access list. Cuối access list luôn có câu lệnh loại bỏ tất cả, do đó một access list phải có ít nhất một lệnh permit. Tốt nhất là soạn thảo access list trước (dùng Notepad chẳng hạn) sau đó cut và paste vào CLI của router.

                        Kiểm tra:
                        - Sử dụng ping mở rộng (extended ping) trên RouterB hướng gói tới các địa chỉ IP secondary tạo ra trong cấu hình dùng địa chỉ nguồn khác nhau (cách này dùng thay cho nhiều PC ở trong mạng LAN của RouterA và RouterB).
                        1. Từ RouterB, ping 152.1.1.3 dùng nguồn là 1501.1.2
                        –Dùng lệnh debug ip packet trên RouterA, ta thấy các gói bị loại bỏ và bản tin ICMP host unreachable được gởi
                        IP: s=150.1.1.2 (Serial0), d=152.1.1.3, len 100, access denied
                        IP: s=195.1.1.4 (local), d=150.1.1.2 (Serial0), len 56, sending ← ICMP host unreachable
                        –Dùng lệnh show ip access-list trên RouterA. Chú ý các dòng hiển thị chỉ loại access list và số các điều kiện thoả của mỗi mục.
                        RouterA#show ip access-lists
                        Extended IP access list 100
                        permit ip host 150.1.1.2 host 152.1.1.2 log (5 matches)
                        deny ip host 150.1.1.2 host 152.1.1.3 log (105 matches)
                        –Tùy chọn log sẽ tổng hợp các bản tin thông báo mọi gói thoả điều kiện. Từ khóa log được đặt ở cuối câu lệnh access-list. Bản tin logging là công cụ tốt để kiểm soát lỗi access list.
                        SEC-6-IPACCESSLOGDP: list 100 denied icmp 150.1.1.2 -> 152.1.1.3 (0/0). 4 packets
                        2. Từ RouterB, ping 152.1.1.3 dùng nguồn 150.1.1.2
                        –Tại RouterA, lệnh debug ip packet hiển thị trên RouterA, ta có thể thấy các gói được cho phép.
                        IP: s=150.1.1.2 (Serial0), d=152.1.1.2, len 100, rcvd 7
                        –Dùng lệnh show ip access-list để xem số lượng các gói thoã điều kiện.
                        RouterA# show ip access-lists
                        Extended IP access list 100
                        permit ip host 150.1.1.2 host 152.1.1.2 log (308 matches)
                        deny ip host 150.1.1.2 host 152.1.1.3 log
                        Attached Files
                        Last edited by nbhduoc; 26-10-2010, 10:58 AM.
                        Nguyễn Bá Hiển
                        Email: nguyenbahien@vnpro.org
                        Yahoo: nguyenbahien_vnpro
                        ------------------------------------------------------------------------------------------------------------
                        Trung Tâm Tin Học VnPro
                        149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                        Tel : (08) 35124257 (5 lines)
                        Fax: (08) 35124314

                        Home page: http://www.vnpro.vn
                        Support Forum: http://www.vnpro.org
                        - Chuyên đào tạo quản trị mạng và hạ tầng Internet
                        - Phát hành sách chuyên môn
                        - Tư vấn và tuyển dụng nhân sự IT
                        - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

                        Network channel: http://www.dancisco.com
                        Blog: http://www.vnpro.org/blog

                        Comment


                        • #13
                          chào các anh chị, cấu hình access-list thì mình cần chú ý những gì?
                          và mình có nên đặt access list trên cổng serial, mong các anh, chị và các bạn giúp đỡ.

                          Comment


                          • #14
                            chào các bạn, đây là bài tập mà mình làm chưa hoàn thành, mong nhận được sự giúp đỡ.
                            Click image for larger version

Name:	11-18-2011 12-47-24 AM.jpg
Views:	1
Size:	17.9 KB
ID:	205646
                            1 . cho lan 1 và lan 2 truy cập web server bằng dịch vụ web (+DNS).
                            2. cho lan 1 và lan 2 gởi và nhận mail.
                            3. từ chối lan 1 truy cập Dât server bằng bất cứ dịch vụ nào.
                            4. từ chối lan 1 truyn cập lan 2 bằng bất cứ dịch vụ nào (ngoại trừ dịch vụ mail).
                            5. cho phép lan 1 và lan 2 truy cập internet bằng dịch giao thức ftp.
                            6. cho phép máy bên ngoài truy câp vào web server của mình.

                            Comment

                            Working...
                            X