ACL Demo Demo bảng địa IP - Engineer - Marketing Bảng địa IP Devices Cổng Địa Mặt nạ Server G0/0 S0/3/1 S0/3/0 10.3.0.1 10.1.0.1 10.2.0.1 10.3.0.10 10.3.0.20 10.3.0.30 10.1.0.2 2001:db8:2::2 2001:db8:5::2 10.1.1.2 2001:db8:3::2 2001:db8:2::1 2001:db8:1::1 2001:db8:3::1 2001:db8:5::1 2001:db8:1::10 /24 /24 /24 /24 /24 /24 /24 /64 /64 /24 /64 /64 /64 /64 /64 /64 Mail Web FTP Engineer Worker WebServer MailPC1 S0/3/0 S0/3/1 G0/0 S0/2/0 S0/3/0 G0/0 S0/3/0 G0/0 Default Gateway NY NY NY 10.3.0.1 10.3.0.1 10.3.0.1 NY NY NY NY NY NY NY NY NY 2001:db8:1::1 MailPC2 WebPC1 WebPC2 MailServer WebServer DualStack Marketing S0/3/0 G0/0 G0/1 G0/2 PC6 PC7 PC8 MailMarketing WebMarketing 2001:db8:1::11 2001:db8:1::12 2001:db8:1::13 2001:db8:5::40 2001:db8:5::50 2001:db8:4::40 10.1.1.40 10.2.0.2 10.2.1.2 10.2.2.2 10.2.3.2 10.2.2.10 10.2.3.11 10.2.3.12 10.2.1.40 10.2.1.50 /64 /64 /64 /64 /64 /64 /24 /24 /24 /24 /24 /24 /24 /24 /24 /24 2001:db8:1::1 2001:db8:1::1 2001:db8:1::1 2001:db8:5::1 2001:db8:5::1 2001:db8:4::1 10.1.1.2 NY NY NY NY 10.2.2.2 10.2.3.2 10.2.3.2 10.2.1.2 10.2.1.2 Cấu hình ACL Trước cấu hình ACL PC Server ping, ftp, HTTP thành công Ví dụ hình PC6 Marketing ping đến Server Mail - Emgineer (ACL IPv6) PC truy cập đến hai máy chủ WebEngineer MailEngineer www, lại deny hết ACL IPv6 (WORKER) làm cổng g0/0 Router Worker chiếu in Worker(config)#ipv6 access-list WORKER Worker(config-ipv6-acl)#permit tcp 2001:db8:1::/64 2001:db8:4::/64 eq www Worker(config-ipv6-acl)#deny ipv6 any any Worker(config-ipv6-acl)#exit Worker(config)#int g0/0 Worker(config-if)#ipv6 traffic-filter WORKER in Kết quả: PC ping, ftp, v.v … đến server truy web, ví dụ ping truy cập web từ MailPC1 đến máy chủ MailEngineer Hai máy chủ MailEngineer WebEngineer truy cập đến máy chủ DualStack, lại deny hết ACL IPv6(SERVER) làm cổng g0/0 Router Engineer chiếu out Engineer(config)#ipv6 access-list SERVER Engineer (config-ipv6-acl)#permit ipv6 2001:db8:4::/64 2001:db8:5::/64 Engineer (config-ipv6-acl)#exit Engineer (config)#int g0/0 Engineer (config-if)#ipv6 traffic-filter SERVER out Engineer (config-if)#exit Kết quả: Thành công truy cập web từ máy chủ MailEngineer đến máy chủ DualStack Không thành công ping từ MailPC1 đến máy chủ DualStack May chủ DualStack nhận thông tin từ máy chủ MailEngineer,WebEngineer truy cập máy chủ Mail, Web, FTP www Named-Extended ACL (DualStack) cổng s0/3/0 Router Engineer chiếu out Engineer(config)#ip access-list extended DualStack Engineer (config-ext-nacl)#permit tcp 10.1.1.0 0.0.0.255 host 10.3.0.10 eq www Engineer (config-ext-nacl)#permit tcp 10.1.1.0 0.0.0.255 host 10.3.0.20 eq www Engineer (config-ext-nacl)#permit tcp 10.1.1.0 0.0.0.255 host 10.3.0.30 eq ftp Engineer (config-ext-nacl)#exit Engineer (config)#int s0/3/0 Engineer (config-if)#ip access-group DualStack out Kết quả: Truy cập web từ DualStack đến máy chủ Mail Truy cập web từ DualStack đến máy chủ Web Truy cập ftp từ DualStack đến máy chủ FTP - Marketing (ACL IPv4) PC6 telnet đến Router Marketing, lại deny hết (Standard ACL) Standard ACL line vty 15 router Marketing chiếu in Marketing (config)#access-list 99 permit host 10.2.2.10 Marketing (config)#line vty 15 Marketing (config-if)#access-class 99 in Kết quả: PC6 telnet đến router Marketing PC7 PC8 truy cập hai máy chủ MailMarketing WebMarketing www, lại deny hết (Numbered Extended ACL(101)) Numbered-Extended ACL (101) cổng g0/2 router Marketing chiếu in Marketing(config)#access-list 101 permit tcp 10.2.3.0 0.0.0.255 10.2.1.0 0.0.0.255 eq www Marketing(config)#access-list 101 deny icmp any any Marketing(config)#int g0/2 Marketing(config-if)#ip access-group 101 in Marketing(config-if)# Kết quả: Thành công truy cập web từ PC7 đến máy chủ MailMarketing Thành công truy cập web từ PC8 đến máy chủ WebMarketing máy chủ MailMarketing WebMarketing truy cập hai may chủ Mail Web www (Named Extended ACL) Named-Extended ACL (Marketing) cổng s0/3/0 router Marketing chiếu out Marketing(config)#ip access-list extended Marketing Marketing(config-ext-nacl)#permit tcp 10.2.1.0 0.0.0.255 host 10.3.0.10 eq www Marketing(config-ext-nacl)#permit tcp 10.2.1.0 0.0.0.255 host 10.3.0.20 eq www Marketing(config-ext-nacl)#permit tcp 10.2.1.0 0.0.0.255 host 10.3.0.30 eq ftp Marketing(config-ext-nacl)#deny tcp any any Marketing(config-ext-nacl)#exit Marketing(config)#int s0/3/0 Marketing(config-if)#ip access-group Marketing out Kết quả: Ví dụ máy chủ MailMarketing Truy cập web từ máy chủ MailMarketing đến máy chủ Mail Truy cập web từ máy chủ MailMarketing đến máy chủ Web Truy cập ftp từ máy chủ MailMarketing đến máy chủ FTP ... 10.2.3.2 10.2.1.2 10.2.1.2 Cấu hình ACL Trước cấu hình ACL PC Server ping, ftp, HTTP thành công Ví dụ hình PC6 Marketing ping đến Server Mail - Emgineer (ACL IPv6) PC truy cập đến hai máy chủ... hết ACL IPv6 (WORKER) làm cổng g0/0 Router Worker chiếu in Worker(config)#ipv6 access-list WORKER Worker(config-ipv6 -acl) #permit tcp 2001:db8:1::/64 2001:db8:4::/64 eq www Worker(config-ipv6 -acl) #deny... Engineer (config-ext-nacl)#permit tcp 10.1.1.0 0.0.0.255 host 10.3.0.20 eq www Engineer (config-ext-nacl)#permit tcp 10.1.1.0 0.0.0.255 host 10.3.0.30 eq ftp Engineer (config-ext-nacl)#exit Engineer