ACL Demo
1. Demo và bảng địa chỉ IP
-
Engineer
-
Marketing
Bảng địa chỉ IP
Devices
Cổng
Địa chỉ
Mặt nạ
Server
G0/0
S0/3/1
S0/3/0
10.3.0.1
10.1.0.1
10.2.0.1
10.3.0.10
10.3.0.20
10.3.0.30
10.1.0.2
2001:db8:2::2
2001:db8:5::2
10.1.1.2
2001:db8:3::2
2001:db8:2::1
2001:db8:1::1
2001:db8:3::1
2001:db8:5::1
2001:db8:1::10
/24
/24
/24
/24
/24
/24
/24
/64
/64
/24
/64
/64
/64
/64
/64
/64
Mail
Web
FTP
Engineer
Worker
WebServer
MailPC1
S0/3/0
S0/3/1
G0/0
S0/2/0
S0/3/0
G0/0
S0/3/0
G0/0
Default
Gateway
NY
NY
NY
10.3.0.1
10.3.0.1
10.3.0.1
NY
NY
NY
NY
NY
NY
NY
NY
NY
2001:db8:1::1
MailPC2
WebPC1
WebPC2
MailServer
WebServer
DualStack
Marketing
S0/3/0
G0/0
G0/1
G0/2
PC6
PC7
PC8
MailMarketing
WebMarketing
2001:db8:1::11
2001:db8:1::12
2001:db8:1::13
2001:db8:5::40
2001:db8:5::50
2001:db8:4::40
10.1.1.40
10.2.0.2
10.2.1.2
10.2.2.2
10.2.3.2
10.2.2.10
10.2.3.11
10.2.3.12
10.2.1.40
10.2.1.50
/64
/64
/64
/64
/64
/64
/24
/24
/24
/24
/24
/24
/24
/24
/24
/24
2001:db8:1::1
2001:db8:1::1
2001:db8:1::1
2001:db8:5::1
2001:db8:5::1
2001:db8:4::1
10.1.1.2
NY
NY
NY
NY
10.2.2.2
10.2.3.2
10.2.3.2
10.2.1.2
10.2.1.2
2. Cấu hình ACL
Trước khi cấu hình ACL thì các PC và Server có thể ping, ftp, HTTP thành công. Ví dụ hình dưới đây PC6
trong Marketing có thể ping đến Server Mail
-
Emgineer (ACL IPv6)
4 PC đều chỉ có thể truy cập đến hai máy chủ WebEngineer và MailEngineer bằng www, còn lại deny hết.
ACL IPv6 (WORKER) làm trên cổng g0/0 của Router Worker và chiếu in
Worker(config)#ipv6 access-list WORKER
Worker(config-ipv6-acl)#permit tcp 2001:db8:1::/64 2001:db8:4::/64 eq www
Worker(config-ipv6-acl)#deny ipv6 any any
Worker(config-ipv6-acl)#exit
Worker(config)#int g0/0
Worker(config-if)#ipv6 traffic-filter WORKER in
Kết quả: 4 PC không thể ping, ftp, v.v … đến 2 server được chỉ có thể truy bằng web, ví dụ ping
và truy cập bằng web từ MailPC1 đến máy chủ MailEngineer
Hai máy chủ MailEngineer và WebEngineer có thể truy cập đến máy chủ DualStack, còn lại deny hết.
ACL IPv6(SERVER) làm trên cổng g0/0 của Router Engineer và chiếu out
Engineer(config)#ipv6 access-list SERVER
Engineer (config-ipv6-acl)#permit ipv6 2001:db8:4::/64 2001:db8:5::/64
Engineer (config-ipv6-acl)#exit
Engineer (config)#int g0/0
Engineer (config-if)#ipv6 traffic-filter SERVER out
Engineer (config-if)#exit
Kết quả: Thành công truy cập bằng web từ máy chủ MailEngineer đến máy chủ DualStack
Không thành công ping từ MailPC1 đến máy chủ DualStack
May chủ DualStack chỉ có thể nhận thông tin từ 2 máy chủ MailEngineer,WebEngineer và có thể truy cập
ra 3 máy chủ Mail, Web, FTP bằng www
Named-Extended ACL (DualStack) trên cổng s0/3/0 của Router Engineer và chiếu out
Engineer(config)#ip access-list extended DualStack
Engineer (config-ext-nacl)#permit tcp 10.1.1.0 0.0.0.255 host 10.3.0.10 eq www
Engineer (config-ext-nacl)#permit tcp 10.1.1.0 0.0.0.255 host 10.3.0.20 eq www
Engineer (config-ext-nacl)#permit tcp 10.1.1.0 0.0.0.255 host 10.3.0.30 eq ftp
Engineer (config-ext-nacl)#exit
Engineer (config)#int s0/3/0
Engineer (config-if)#ip access-group DualStack out
Kết quả:
Truy cập bằng web từ DualStack đến máy chủ Mail
Truy cập bằng web từ DualStack đến máy chủ Web
Truy cập bằng ftp từ DualStack đến máy chủ FTP
-
Marketing (ACL IPv4)
PC6 có thể telnet đến Router Marketing, còn lại deny hết (Standard ACL)
Standard ACL trên line vty 0 15 của router Marketing và chiếu in
Marketing (config)#access-list 99 permit host 10.2.2.10
Marketing (config)#line vty 0 15
Marketing (config-if)#access-class 99 in
Kết quả: PC6 có thể telnet đến router Marketing
PC7 và PC8 chỉ truy cập hai máy chủ MailMarketing và WebMarketing bằng www, còn lại deny hết
(Numbered Extended ACL(101))
Numbered-Extended ACL (101) trên cổng g0/2 của router Marketing và chiếu in
Marketing(config)#access-list 101 permit tcp 10.2.3.0 0.0.0.255 10.2.1.0 0.0.0.255 eq www
Marketing(config)#access-list 101 deny icmp any any
Marketing(config)#int g0/2
Marketing(config-if)#ip access-group 101 in
Marketing(config-if)#
Kết quả:
Thành công truy cập bằng web từ PC7 đến máy chủ MailMarketing
Thành công truy cập bằng web từ PC8 đến máy chủ WebMarketing
2 máy chủ MailMarketing và WebMarketing có thể truy cập hai may chủ Mail và Web bằng www
(Named Extended ACL)
Named-Extended ACL (Marketing) trên cổng s0/3/0 của router Marketing và chiếu out
Marketing(config)#ip access-list extended Marketing
Marketing(config-ext-nacl)#permit tcp 10.2.1.0 0.0.0.255 host 10.3.0.10 eq www
Marketing(config-ext-nacl)#permit tcp 10.2.1.0 0.0.0.255 host 10.3.0.20 eq www
Marketing(config-ext-nacl)#permit tcp 10.2.1.0 0.0.0.255 host 10.3.0.30 eq ftp
Marketing(config-ext-nacl)#deny tcp any any
Marketing(config-ext-nacl)#exit
Marketing(config)#int s0/3/0
Marketing(config-if)#ip access-group Marketing out
Kết quả: Ví dụ trên máy chủ MailMarketing
Truy cập bằng web từ máy chủ MailMarketing đến máy chủ Mail
Truy cập bằng web từ máy chủ MailMarketing đến máy chủ Web
Truy cập bằng ftp từ máy chủ MailMarketing đến máy chủ FTP