Nguồn: Sách CCNA Labpro
LAB 4-2: EXTENDED ACCESS-LIST
Mô tả:
–Lab này mô tả cách lọc các gói sử dụng extended access-list. Router A cho phép tất cả lưu lưu lượng từ PCC (150.1.1.2) đến PCA (152.1.1.2) và từ chối tất cả các lưu lượng từ PCC (150.1.1.2) tới PCB (152.1.1.3). Extened Access-list được sử dụng vì cần lọc trên cả địa chỉ IP nguồn và đích.
–Router A và RouterB nối bằng đường serial và đặt địa chỉ IP như trên hình. RouterA và RouterB có địa chỉ IP secondary tạo trên cổng Ethernet để làm điểm kiểm tra.
–Access-list được dùng để lọc ngõ vào trên cổng serial của RouterA, cho phép các gói từ PCC 150.1.1.2 tới PCA và không cho phép các gói từ PCC tới PCB.
Cấu hình:
Router A:
!
hostname RouterA
!
no ip domain-lookup
!
interface Ethernet0
ip address 152.1.1.2 255.255.255.0 secondary ← Địa chỉ IP thứ hai để làm điểm kiểm tra
ip address 152.1.1.3 255.255.255.0 secondary
ip address 152.1.1.1 255.255.255.0
no keepalive ← vô hiệu hóa keepalive trên router cho phép cổng ethernet0 vẫn up khi không kết nối ra bên ngoài
!
interface Serial0
ip address 195.1.1.4 255.255.255.0
ip access-group 100 in ← Dùng Access-list 100 cho tất cả lưu lượng vào trên đường serial0
!
no ip classless
ip route 150.1.1.0 255.255.255.0 Serial0 ← dùng định tuyến tĩnh (không dùng định tuyến động)
ip route 151.1.1.1 255.255.255.255 Serial0
access-list 100 permit ip host 150.1.1.2 host 152.1.1.2 log ← tổng hợp các bản tin thông tin về các gói thoả điều kiện.
access-list 100 deny ip host 150.1.1.2 host 152.1.1.3 log ← Loại tất cả các gói IP từ 150.1.1.2 tới 152.1.1.3; tổng hợp bản tin thông báo về các gói thoả điều kiện.
(Chú ý: tất cả các gói khác ngầm hiểu là bị loại bỏ; tất cả các access list đều kết thúc bằng câu lệnh loại bỏ tất cả)
!
!
line con 0
line vty 0 4
login
!
end
hostname RouterA
!
no ip domain-lookup
!
interface Ethernet0
ip address 152.1.1.2 255.255.255.0 secondary ← Địa chỉ IP thứ hai để làm điểm kiểm tra
ip address 152.1.1.3 255.255.255.0 secondary
ip address 152.1.1.1 255.255.255.0
no keepalive ← vô hiệu hóa keepalive trên router cho phép cổng ethernet0 vẫn up khi không kết nối ra bên ngoài
!
interface Serial0
ip address 195.1.1.4 255.255.255.0
ip access-group 100 in ← Dùng Access-list 100 cho tất cả lưu lượng vào trên đường serial0
!
no ip classless
ip route 150.1.1.0 255.255.255.0 Serial0 ← dùng định tuyến tĩnh (không dùng định tuyến động)
ip route 151.1.1.1 255.255.255.255 Serial0
access-list 100 permit ip host 150.1.1.2 host 152.1.1.2 log ← tổng hợp các bản tin thông tin về các gói thoả điều kiện.
access-list 100 deny ip host 150.1.1.2 host 152.1.1.3 log ← Loại tất cả các gói IP từ 150.1.1.2 tới 152.1.1.3; tổng hợp bản tin thông báo về các gói thoả điều kiện.
(Chú ý: tất cả các gói khác ngầm hiểu là bị loại bỏ; tất cả các access list đều kết thúc bằng câu lệnh loại bỏ tất cả)
!
!
line con 0
line vty 0 4
login
!
end
Router B:
!
hostname RouterB
!
interface Loopback0
ip address 150.1.1.1 255.255.255.255
!
interface Ethernet0
ip address 150.1.1.2 255.255.255.0 secondary
ip address 150.1.1.1 255.255.255.0
no keepalive
!
interface Serial0
ip address 195.1.1.10 255.255.255.0
clock rate 64000
!
no ip classless
ip route 152.1.1.0 255.255.255.0 Serial0
!
line con 0
line vty 0 3
login
!
end
hostname RouterB
!
interface Loopback0
ip address 150.1.1.1 255.255.255.255
!
interface Ethernet0
ip address 150.1.1.2 255.255.255.0 secondary
ip address 150.1.1.1 255.255.255.0
no keepalive
!
interface Serial0
ip address 195.1.1.10 255.255.255.0
clock rate 64000
!
no ip classless
ip route 152.1.1.0 255.255.255.0 Serial0
!
line con 0
line vty 0 3
login
!
end
Chú ý:Khi tạo access list tất cả các mục tuần tự theo thứ tự như khi ta đánh vào. Tất cả các câu lệnh thêm vào sau đó sẽ đặt ở vị trí tiếp của access list. Cuối access list luôn có câu lệnh loại bỏ tất cả, do đó một access list phải có ít nhất một lệnh permit. Tốt nhất là soạn thảo access list trước (dùng Notepad chẳng hạn) sau đó cut và paste vào CLI của router.
Kiểm tra:
- Sử dụng ping mở rộng (extended ping) trên RouterB hướng gói tới các địa chỉ IP secondary tạo ra trong cấu hình dùng địa chỉ nguồn khác nhau (cách này dùng thay cho nhiều PC ở trong mạng LAN của RouterA và RouterB).
1. Từ RouterB, ping 152.1.1.3 dùng nguồn là 1501.1.2
–Dùng lệnh debug ip packet trên RouterA, ta thấy các gói bị loại bỏ và bản tin ICMP host unreachable được gởi
IP: s=150.1.1.2 (Serial0), d=152.1.1.3, len 100, access denied
IP: s=195.1.1.4 (local), d=150.1.1.2 (Serial0), len 56, sending ← ICMP host unreachable
IP: s=195.1.1.4 (local), d=150.1.1.2 (Serial0), len 56, sending ← ICMP host unreachable
–Dùng lệnh show ip access-list trên RouterA. Chú ý các dòng hiển thị chỉ loại access list và số các điều kiện thoả của mỗi mục.
RouterA#show ip access-lists
Extended IP access list 100
permit ip host 150.1.1.2 host 152.1.1.2 log (5 matches)
deny ip host 150.1.1.2 host 152.1.1.3 log (105 matches)
–Tùy chọn log sẽ tổng hợp các bản tin thông báo mọi gói thoả điều kiện. Từ khóa log được đặt ở cuối câu lệnh access-list. Bản tin logging là công cụ tốt để kiểm soát lỗi access list.Extended IP access list 100
permit ip host 150.1.1.2 host 152.1.1.2 log (5 matches)
deny ip host 150.1.1.2 host 152.1.1.3 log (105 matches)
SEC-6-IPACCESSLOGDP: list 100 denied icmp 150.1.1.2 -> 152.1.1.3 (0/0). 4 packets
2. Từ RouterB, ping 152.1.1.3 dùng nguồn 150.1.1.2
–Tại RouterA, lệnh debug ip packet hiển thị trên RouterA, ta có thể thấy các gói được cho phép.
IP: s=150.1.1.2 (Serial0), d=152.1.1.2, len 100, rcvd 7
–Dùng lệnh show ip access-list để xem số lượng các gói thoã điều kiện.
RouterA# show ip access-lists
Extended IP access list 100
permit ip host 150.1.1.2 host 152.1.1.2 log (308 matches)
deny ip host 150.1.1.2 host 152.1.1.3 log
Extended IP access list 100
permit ip host 150.1.1.2 host 152.1.1.2 log (308 matches)
deny ip host 150.1.1.2 host 152.1.1.3 log
Comment