Hệ thống mạng CISCO Access Control List A. Access Control List 1. Thiết kế mạng như mô hình và đặt IP. Mạng Fa0/0 của Router 1: 192.168.10.0/24 Mạng Fa0/1 của Router 1: 192.168.11.0/24 Mạng Fa0/0 của Router 2: 192.168.20.0/24 Mạng Loopback của Router 2 đóng vai trò Internet: 200.0.0.1 Mạng Fa0/0 của Router 3: 192.168.30.0/24 Mạng kết nối R1-R2: 10.1.1.0/30 Mạng kết nối R2-R3: 10.2.2.0/30 2. Cấu hình định tuyến để các Router thấy hết đường mạng của nhau. 3. Tạo Standard ACL ngăn chặn mạng 192.168.11.0/24 truy cập đến mạng 192.168.30.0/24. R3(con>g)#access-list 1 deny 192.168.11.0 0.0.0.255 R3(con>g)#access-list 1 permit any R3(con>g)#int s0/0 R3(con>g-if)#ip access-group 1 in 4. Gỡ bỏ ACL trên, và tạo lại Name ACL có Knh năng tương tự. R3(con>g)#int s0/0 R3(con>g-if)#no ip access-group 1 R3(con>g)#no access-list 1 R3(con>g)#ip access-list standard STND_cam_192.168.11.0 R3(con>g-std-nacl)#deny 192.168.11.0 0.0.0.255 R3(con>g-std-nacl)#permit any R3(con>g-std-nacl)#exit R3(con>g)#int s0/0 R3(con>g-if)#ip access-group STND_cam_192.168.11.0 in 5. Gỡ bỏ ACL trên. 6. Tạo Exteneded ACL cấm mạng 192.168.10.0/24 truy cập Internet, nhưng vẫn cho truy cập các mạng khác R1(con>g)#access-list 100 deny ip 192.168.10.0 0.0.0.255 host 200.0.0.1 R1(con>g)#access-list 100 permit ip any any R1(con>g)#int s0/0 R1(con>g-if)#ip access-group 100 out 7. Gỡ bỏ ACL trên và tạo lại Name ACL có Knh năng tương tự. R1(con>g)#ip access-list extended EXTEND_cam_192.168.1.0_truycap_internet R1(con>g-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 host 200.0.0.1 R1(con>g-ext-nacl)#permit ip any any R1(con>g-ext-nacl)#exit R1(con>g)#int s0/0 R1(con>g-if)#ip access-group EXTEND_cam_192.168.1.0_truycap_internet out 8. Gỡ bỏ ACL trên. 9. Tạo standard ACL trên R2 cho phép lưu lượng từ 2 mạng 10.2.2.0/30 và 192.168.30.0/24 telnet tới R2. Tất cả các host khác bị cấm R2(con>g)#access-list 1 permit 10.2.2.0 0.0.0.3 R2(con>g)#access-list 1 permit 192.168.30.0 0.0.0.255 R2(con>g)#line vty 0 4 R2(con>g-line)#access-class 1 in R2(con>g-line)#password 123 R2(con>g-line)#login 10. Gỡ bỏ ACL trên và tạo lại Name ACL có Knh năng tương tự R2(con>g)#ip access-list standard STND_cho_telnet_R2 R2(con>g-std-nacl)#permit 10.2.2.0 0.0.0.3 R2(con>g-std-nacl)#permit 192.168.30.0 0.0.0.255 R2(con>g-std-nacl)#exit R2(con>g)#line vty 0 4 R2(con>g-line)#access-class STND_cho_telnet_R2 in 11. Cấm host 192.168.10.5 truy cập Web Server. Tạo number ACL và name ACL. R1(con>g)#ip access-list extended EXT_cam_192.168.10.5_truy_cap_webserver R1(con>g-ext-nacl)#deny tcp host 192.168.10.5 host 192.168.20.2 eq 80 R1(con>g-ext-nacl)#permit ip any any 12. Cấm host 192.168.30.2 và 192.168.30.6 truy cập FTP server. Tạo number ACL và name ACL. R3(con>g)#ip access-list extended EXT_cam_192.168.30.6_va_192.168.30.2_truy_cap_]p R3(con>g-ext-nacl)#deny tcp 192.168.30.2 0.0.0.4 host 192.168.20.2 eq 20 R3(con>g-ext-nacl)#deny tcp 192.168.30.2 0.0.0.4 host 192.168.20.2 eq 21 R3(con>g-ext-nacl)#permit ip any any R3(con>g-ext-nacl)#exit R3(con>g)#int fa0/0 R3(con>g-if)#ip access-group EXT_cam_192.168.30.6_va_192.168.30.2_truy_cap_]p in *** THE END *** . Hệ thống mạng CISCO Access Control List A. Access Control List 1. Thiết kế mạng như mô hình và đặt IP. Mạng Fa0/0 của Router 1: 192.168.10.0/24 Mạng Fa0/1 của Router 1: 192.168.11.0/24 Mạng. 1 R3(con>g)#ip access- list standard STND_cam_192.168.11.0 R3(con>g-std-nacl)#deny 192.168.11.0 0.0.0.255 R3(con>g-std-nacl)#permit any R3(con>g-std-nacl)#exit R3(con>g)#int s0/0 R3(con>g-if)#ip. s0/0 R3(con>g-if)#ip access- group 1 in 4. Gỡ bỏ ACL trên, và tạo lại Name ACL có Knh năng tương tự. R3(con>g)#int s0/0 R3(con>g-if)#no ip access- group 1 R3(con>g)#no access- list 1 R3(con>g)#ip