192.168.10.254 (kể cả các Work Station có địa chỉ IP trong khoảng 192.168.10.1/28 đến 192.168.10.15/28) Vì vậy khi cấu hình, thứ tự các Access-list và Access-map là một điều hết sức quan trọng. Phần 2: Minh hoạ đặc tính của VACLs vượt khỏi phạm vi Vlan Đồ hình Cấu hình InterVlan Routing: Tham khảo cấu hình InterVlan Routing trong bài InterVlan Routing & MultiLayer Switching Trong trường hợp này InterVlan Routing dùnh giao thức định tuyến Rip để dợn giản hoá cấu hình (vì mục tiêu chính là: minh hoạ VACLs) Mô tả: Trong phần này , cấu hình Vlan Access-list áp dụng vào Vlan 20 Dùng Cisco Router kết nối với MultiLayer Switch qua công FastEthernet có sơ đồ địa chỉ như hình vẽ, Router có hostname là “Remote” dùng làm Access Server. Management IP của Vlan 20 là 192.168.20.1/24, các Work Station có địa chỉ từ 192.168.20.2…… 192.168.20.253/24. Cấu hình Vlan Access-list cấm không cho các Work Station có địa chỉ IP trong khoảng 192.168.20.2/24 đến 192.168.20.15/24 không thể telnet vào Access Server, ngoại trừ 192.168.20.3/24 (192.168.20.3/24 vẫn có thể telnet vào Remote router 10.200.0.2/24). Các bước tiến hành tương tự như trên: Cấu hình MLS trên Switch Vnpro Error! Vnpro(config)#interface fa0/1 Vnpro(config-if)#no switchport Vnpro(config-if)# Vnpro(config-if)#ip address 10.200.0.1 255.255.255.0 Vnpro(config-if)#no shutdown Vnpro(config-if)#exit 01:28:35: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up 01:28:36: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up Vnpro(config)#ip routing Vnpro(config)#router rip Vnpro(config-router)#network 192.168.1.0 Vnpro(config-router)#network 192.168.10.0 Vnpro(config-router)#network 192.168.20.0 Vnpro(config-router)#network 10.200.0.0 Vnpro(config-router)#^Z 01:29:53: %SYS-5-CONFIG_I: Configured from console by console Cấu hình địa chỉ IP và định tuyến trên Remote router Remote#config terminal Enter configuration commands, one per line. End with CNTL/Z. Remote(config)#interface Ethernet0/0 Remote(config-if)#ip address 10.200.0.2 255.255.255.0 Remote(config-if)#no shutdown Remote(config-if)#exit Remote(config)#interface loopback 0 Remote(config-if)#ip address 172.168.0.1 255.255.255.0 Remote(config-if)#no shutdown Remote(config-if)#exit Remote(config)#router rip Remote(config-router)#network 10.200.0.0 Remote(config-router)#network 172.168.0.0 Remote(config-router)#^Z Kiểm tra thông tin định tuyến trên Remote router vào Vnpro Switch Vnpro#show ip route Gateway of last resort is not set C 192.168.10.0/24 is directly connected, Vlan10 R 172.168.0.0/16 [120/1] via 10.200.0.2, 00:00:24, FastEthernet0/1 C 192.168.20.0/24 is directly connected, Vlan20 10.0.0.0/24 is subnetted, 1 subnets C 10.200.0.0 is directly connected, FastEthernet0/1 Cấu hình các Vlan Access-list mới Vnpro#telnet 10.200.0.2 Trying 10.200.0.2 Open User Access Verification Password: cisco Remote>enable Password: vnpro Remote#show ip route Gateway of last resort is not set R 192.168.10.0/24 [120/1] via 10.200.0.1, 00:00:09, Ethernet0/0 172.168.0.0/24 is subnetted, 1 subnets C 172.168.0.0 is directly connected, Loopback0 R 192.168.20.0/24 [120/1] via 10.200.0.1, 00:00:09, Ethernet0/0 10.0.0.0/24 is subnetted, 1 subnets C 10.200.0.0 is directly connected, Ethernet0/0 Remote# Vnpro(config)#ip access-list extended VnproAllow2 Vnpro(config-ext-nacl)#permit tcp host 192.168.20.3 host 10.200.0.2 eq telnet Vnpro(config-ext-nacl)#exit Vnpro(config)#ip access-list extended VnproBlock2 Vnpro(config-ext-nacl)#permit tcp 192.168.20.0 0.0.0.15 host 10.200.0.2 eq telnet Vnpro(config-ext-nacl)#exit Vnpro(config)#ip access-list extended VnproDefault2 Vnpro(config-ext-nacl)#permit tcp any any Vnpro(config-ext-nacl)#permit ip any any Vnpro(config-ext-nacl)#end Vnpro# 01:56:55: %SYS-5-CONFIG_I: Configured from console by console Kiểm tra thông tin về Access-list Vnpro#show ip access-lists Extended IP access list VnproAllow1 permit tcp host 192.168.10.3 host 192.168.10.254 eq telnet Extended IP access list VnproAllow2 permit tcp host 192.168.20.3 host 10.200.0.2 eq telnet Extended IP access list VnproBlock1 permit tcp 192.168.10.0 0.0.0.15 host 192.168.10.254 eq telnet Extended IP access list VnproBlock2 permit tcp 192.168.20.0 0.0.0.15 host 10.200.0.2 eq telnet Extended IP access list VnproDefault1 permit tcp any any Extended IP access list VnproDefault2 permit tcp any any permit ip any any Vnpro# Cấu hình Vlan Access-map Vnpro#config terminal . 19 2 .16 8 .10 .0/24 [12 0 /1] via 10 .200.0 .1, 00:00:09, Ethernet0/0 17 2 .16 8.0.0/24 is subnetted, 1 subnets C 17 2 .16 8.0.0 is directly connected, Loopback0 R 19 2 .16 8.20.0/24 [12 0 /1] via 10 .200.0 .1, . Vnpro(config-router)#network 19 2 .16 8 .1. 0 Vnpro(config-router)#network 19 2 .16 8 .10 .0 Vnpro(config-router)#network 19 2 .16 8.20.0 Vnpro(config-router)#network 10 .200.0.0 Vnpro(config-router)#^Z 01: 29:53:. 19 2 .16 8 .10 .254 (kể cả các Work Station có địa chỉ IP trong khoảng 19 2 .16 8 .10 .1/ 28 đến 19 2 .16 8 .10 .15 /28) Vì vậy khi cấu hình, thứ tự các Access-list và Access-map là một điều