Hệ thống mạng CISCO - Access Control List
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (63.71 KB, 3 trang )
Hệ thống mạng CISCO
Access Control List
A. Access Control List
1. Thiết kế mạng như mô hình và đặt IP.
Mạng Fa0/0 của Router 1: 192.168.10.0/24
Mạng Fa0/1 của Router 1: 192.168.11.0/24
Mạng Fa0/0 của Router 2: 192.168.20.0/24
Mạng Loopback của Router 2 đóng vai trò Internet: 200.0.0.1
Mạng Fa0/0 của Router 3: 192.168.30.0/24
Mạng kết nối R1-R2: 10.1.1.0/30
Mạng kết nối R2-R3: 10.2.2.0/30
2. Cấu hình định tuyến để các Router thấy hết đường mạng của nhau.
3. Tạo Standard ACL ngăn chặn mạng 192.168.11.0/24 truy cập đến mạng 192.168.30.0/24.
R3(con>g)#access-list 1 deny 192.168.11.0 0.0.0.255
R3(con>g)#access-list 1 permit any
R3(con>g)#int s0/0
R3(con>g-if)#ip access-group 1 in
4. Gỡ bỏ ACL trên, và tạo lại Name ACL có Knh năng tương tự.
R3(con>g)#int s0/0
R3(con>g-if)#no ip access-group 1
R3(con>g)#no access-list 1
R3(con>g)#ip access-list standard STND_cam_192.168.11.0
R3(con>g-std-nacl)#deny 192.168.11.0 0.0.0.255
R3(con>g-std-nacl)#permit any
R3(con>g-std-nacl)#exit
R3(con>g)#int s0/0
R3(con>g-if)#ip access-group STND_cam_192.168.11.0 in
5. Gỡ bỏ ACL trên.
6. Tạo Exteneded ACL cấm mạng 192.168.10.0/24 truy cập Internet, nhưng vẫn cho truy cập các mạng
khác
R1(con>g)#access-list 100 deny ip 192.168.10.0 0.0.0.255 host 200.0.0.1
R1(con>g)#access-list 100 permit ip any any
R1(con>g)#int s0/0
R1(con>g-if)#ip access-group 100 out
7. Gỡ bỏ ACL trên và tạo lại Name ACL có Knh năng tương tự.
R1(con>g)#ip access-list extended EXTEND_cam_192.168.1.0_truycap_internet
R1(con>g-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 host 200.0.0.1
R1(con>g-ext-nacl)#permit ip any any
R1(con>g-ext-nacl)#exit
R1(con>g)#int s0/0
R1(con>g-if)#ip access-group EXTEND_cam_192.168.1.0_truycap_internet out
8. Gỡ bỏ ACL trên.
9. Tạo standard ACL trên R2 cho phép lưu lượng từ 2 mạng 10.2.2.0/30 và 192.168.30.0/24 telnet tới
R2. Tất cả các host khác bị cấm
R2(con>g)#access-list 1 permit 10.2.2.0 0.0.0.3
R2(con>g)#access-list 1 permit 192.168.30.0 0.0.0.255
R2(con>g)#line vty 0 4
R2(con>g-line)#access-class 1 in
R2(con>g-line)#password 123
R2(con>g-line)#login
10. Gỡ bỏ ACL trên và tạo lại Name ACL có Knh năng tương tự
R2(con>g)#ip access-list standard STND_cho_telnet_R2
R2(con>g-std-nacl)#permit 10.2.2.0 0.0.0.3
R2(con>g-std-nacl)#permit 192.168.30.0 0.0.0.255
R2(con>g-std-nacl)#exit
R2(con>g)#line vty 0 4
R2(con>g-line)#access-class STND_cho_telnet_R2 in
11. Cấm host 192.168.10.5 truy cập Web Server. Tạo number ACL và name ACL.
R1(con>g)#ip access-list extended EXT_cam_192.168.10.5_truy_cap_webserver
R1(con>g-ext-nacl)#deny tcp host 192.168.10.5 host 192.168.20.2 eq 80
R1(con>g-ext-nacl)#permit ip any any
12. Cấm host 192.168.30.2 và 192.168.30.6 truy cập FTP server. Tạo number ACL và name ACL.
R3(con>g)#ip access-list extended EXT_cam_192.168.30.6_va_192.168.30.2_truy_cap_]p
R3(con>g-ext-nacl)#deny tcp 192.168.30.2 0.0.0.4 host 192.168.20.2 eq 20
R3(con>g-ext-nacl)#deny tcp 192.168.30.2 0.0.0.4 host 192.168.20.2 eq 21
R3(con>g-ext-nacl)#permit ip any any
R3(con>g-ext-nacl)#exit
R3(con>g)#int fa0/0
R3(con>g-if)#ip access-group EXT_cam_192.168.30.6_va_192.168.30.2_truy_cap_]p in
*** THE END ***
