Hệ thống mạng CISCOAccess Control List A.. Thiết kế mạng như mô hình và đặt IP.. Cấu hình định tuyến để các Router thấy hết đường mạng của nhau.. Gỡ bỏ ACL trên, và tạo lại Name ACL có t
Trang 1Hệ thống mạng CISCO
Access Control List
A Access Control List
1 Thiết kế mạng như mô hình và đặt IP
Mạng Fa0/0 của Router 1: 192.168.10.0/24
Mạng Fa0/1 của Router 1: 192.168.11.0/24
Mạng Fa0/0 của Router 2: 192.168.20.0/24
Mạng Loopback của Router 2 đóng vai trò Internet: 200.0.0.1
Mạng Fa0/0 của Router 3: 192.168.30.0/24
Mạng kết nối R1-R2: 10.1.1.0/30
Mạng kết nối R2-R3: 10.2.2.0/30
2 Cấu hình định tuyến để các Router thấy hết đường mạng của nhau
3 Tạo Standard ACL ngăn chặn mạng 192.168.11.0/24 truy cập đến mạng 192.168.30.0/24
R3(config)#access-list 1 deny 192.168.11.0 0.0.0.255
R3(config)#access-list 1 permit any
R3(config)#int s0/0
R3(config-if)#ip access-group 1 in
4 Gỡ bỏ ACL trên, và tạo lại Name ACL có tính năng tương tự
R3(config)#int s0/0
R3(config-if)#no ip access-group 1
R3(config)#no access-list 1
R3(config)#ip access-list standard STND_cam_192.168.11.0
R3(config-std-nacl)#deny 192.168.11.0 0.0.0.255
R3(config-std-nacl)#permit any
R3(config-std-nacl)#exit
R3(config)#int s0/0
R3(config-if)#ip access-group STND_cam_192.168.11.0 in
Trang 25 Gỡ bỏ ACL trên.
6 Tạo Exteneded ACL cấm mạng 192.168.10.0/24 truy cập Internet, nhưng vẫn cho truy cập các mạng khác
R1(config)#access-list 100 deny ip 192.168.10.0 0.0.0.255 host 200.0.0.1
R1(config)#access-list 100 permit ip any any
R1(config)#int s0/0
R1(config-if)#ip access-group 100 out
7 Gỡ bỏ ACL trên và tạo lại Name ACL có tính năng tương tự
R1(config)#ip access-list extended EXTEND_cam_192.168.1.0_truycap_internet
R1(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 host 200.0.0.1
R1(config-ext-nacl)#permit ip any any
R1(config-ext-nacl)#exit
R1(config)#int s0/0
R1(config-if)#ip access-group EXTEND_cam_192.168.1.0_truycap_internet out
8 Gỡ bỏ ACL trên
9 Tạo standard ACL trên R2 cho phép lưu lượng từ 2 mạng 10.2.2.0/30 và 192.168.30.0/24 telnet tới R2 Tất cả các host khác bị cấm
R2(config)#access-list 1 permit 10.2.2.0 0.0.0.3
R2(config)#access-list 1 permit 192.168.30.0 0.0.0.255
R2(config)#line vty 0 4
R2(config-line)#access-class 1 in
R2(config-line)#password 123
R2(config-line)#login
10 Gỡ bỏ ACL trên và tạo lại Name ACL có tính năng tương tự
R2(config)#ip access-list standard STND_cho_telnet_R2
R2(config-std-nacl)#permit 10.2.2.0 0.0.0.3
R2(config-std-nacl)#permit 192.168.30.0 0.0.0.255
R2(config-std-nacl)#exit
R2(config)#line vty 0 4
R2(config-line)#access-class STND_cho_telnet_R2 in
11 Cấm host 192.168.10.5 truy cập Web Server Tạo number ACL và name ACL
R1(config)#ip access-list extended EXT_cam_192.168.10.5_truy_cap_webserver
R1(config-ext-nacl)#deny tcp host 192.168.10.5 host 192.168.20.2 eq 80
R1(config-ext-nacl)#permit ip any any
12 Cấm host 192.168.30.2 và 192.168.30.6 truy cập FTP server Tạo number ACL và name ACL
R3(config)#ip access-list extended EXT_cam_192.168.30.6_va_192.168.30.2_truy_cap_ftp
R3(config-ext-nacl)#deny tcp 192.168.30.2 0.0.0.4 host 192.168.20.2 eq 20
R3(config-ext-nacl)#deny tcp 192.168.30.2 0.0.0.4 host 192.168.20.2 eq 21
R3(config-ext-nacl)#permit ip any any
R3(config-ext-nacl)#exit
Trang 3R3(config)#int fa0/0
R3(config-if)#ip access-group EXT_cam_192.168.30.6_va_192.168.30.2_truy_cap_ftp in
*** THE END ***