THÔNG TIN TÀI LIỆU
THỰC HÀNH MẠNG MÁY TÍNH ThS.Trần Quang Hải Bằng LAB 06 VLAN, ACCESS CONTROL LIST (ACL) Mục tiêu: Sinh viên hiểu sử dụng ACL để quản lý truy cập (vào, ra) router, switch với hành động cho phép (allow) cấm (deny) dịch vụ từ VLAN ACL danh sách điều khiển truy nhập thường sử dụng cho mục đích • Traffic fitering: lọc lưu lượng theo chiều in out port • Data classification: Phân loại liệu, để đối tượng /khơng tham gia vào hoạt động Ví dụ NAT, VPN Bài tốn: Một cơng ty có phòng chức KINH DOANH, THIẾT BỊ TÀI CHÍNH Do điều kiện sở vật chất, cơng ty phải bố trí nhân viên thuộc đơn vị rải rác phòng làm việc khác (trong phòng có nhân viên thuộc đơn vị làm việc) Toàn cơng ty có đường kết nối internet Bạn thiết kế sơ đồ mạng LAN cơng ty cho: - Máy tính nhân viên thuộc đơn vị truy cập đến (Nhưng khơng cho máy tính đơn vị khác truy cập) - Tất máy tính cty có khả truy cập internet theo đường kết nối chung Bước 1: Khởi động Packet Tracer, lập sơ đồ mạng hình dưới: THỰC HÀNH MẠNG MÁY TÍNH ThS.Trần Quang Hải Bằng Lưu ý: - Các PC Phòng kinh doanh gắn vào port f0/1-f0/8; PC Thiết bị gắn vào port f0/9-f0/16; PC Phòng Tài gắn vào port f0/17-f0/24 - Các switch nối với port g0/1-g0/2 Bước 2: Thực chia VLAN switch >enable #configure terminal (config)#vlan 10 (config-vlan)#name PhongKinhdoanh (config-vlan)#exit (config)#interface range f0/1-f0/8 (config-if-range)#switchport access vlan 10 (config-if-range)#exit (config)#vlan 20 (config-vlan)#name PhongThietbi (config-vlan)#exit (config)#interface range f0/9-f0/16 (config-if-range)#switchport access vlan 20 (config-if-range)#exit (config)#vlan 30 (config-vlan)#name PhongTaichinh (config-vlan)#exit (config)#interface range f0/17-f0/24 (config-if-range)#switchport access vlan 30 (config-if-range)#exit Kiểm tra cấu hình Vlan switch lệnh: #show vlan brief Bước 3: Thực cấu hình trunking switch >enable #configure terminal (config)#interface g0/1 (config-if)#switchport mode trunk (config-if)#exit (config)#interface g0/2 (config-if)#switchport mode trunk Bước 4: Cấu hình dịch vụ DHCP Router0 THỰC HÀNH MẠNG MÁY TÍNH ThS.Trần Quang Hải Bằng >enable #configure terminal (config)#ip dhcp pool PhongKinhdoanh (dhcp-config)#network 192.168.10.0 255.255.255.0 (dhcp-config)#default-router 192.168.10.1 (dhcp-config)#dns-server 8.8.8.8 (dhcp-config)#exit (config)#ip dhcp pool PhongThiebi (dhcp-config)#network 192.168.20.0 255.255.255.0 (dhcp-config)#default-router 192.168.20.1 (dhcp-config)#dns-server 8.8.8.8 (dhcp-config)#exit (config)#ip dhcp pool PhongTaichinh (dhcp-config)#network 192.168.30.0 255.255.255.0 (dhcp-config)#default-router 192.168.30.1 (dhcp-config)#dns-server 8.8.8.8 (dhcp-config)#exit Bước 5: Router0 Đặt địa cho sub-link (nối với Switch0) thiết lập ecapsulation 802.1q >enable #configure terminal (config)#interface f0/0.10 (config-subif)#encapulation dot1Q 10 (config-subif)#ip address 192.168.10.1 255.255.255.0 (config-subif)#exit #configure terminal (config)#interface f0/0.20 (config-subif)#encapulation dot1Q 10 (config-subif)#ip address 192.168.20.1 255.255.255.0 (config-subif)#exit #configure terminal (config)#interface f0/0.30 (config-subif)#encapulation dot1Q 30 (config-subif)#ip address 192.168.30.1 255.255.255.0 (config-subif)#exit (config)#interface f0/0 (config-if)#no shutdown Kiểm tra lại thông tin địa cho sub-link vừa gán lệnh Show ip interfaces brief THỰC HÀNH MẠNG MÁY TÍNH ThS.Trần Quang Hải Bằng Bước 6: Router0 Đặt địa cho kết nối serial (nối với Router1) cấu hình định tuyến tĩnh tới Router1 >enable #configure terminal (config)#interface s0/0/0 (config-if)#ip address 1.1.1.1 255.255.255.252 (config-if)#no shutdown (config-if)#exit (config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2 Bước 7: Router1 Đặt địa cho kết nối serial (nối với Router0) cấu hình định tuyến tĩnh tới Router0 >enable #configure terminal (config)#interface s0/0/0 (config-if)#ip address 1.1.1.2 255.255.255.252 (config-if)#no shutdown (config-if)#exit (config)#ip route 0.0.0.0 0.0.0.0 1.1.1.1 Bước 8: Router1 Đặt địa cho kết nối GigaEthernet (nối với HTTP Server) >enable #configure terminal (config)#interface g0/0 (config-if)#ip address 8.8.8.1 255.0.0.0 (config-if)#no shutdown (config-if)#exit Bước 9: Tại HTTP Server - Đặt địa ip cho máy - Bật dịch vụ DNS thêm vào ARecord cho tên miền company.com CName cho tên miền www.company.com hình THỰC HÀNH MẠNG MÁY TÍNH ThS.Trần Quang Hải Bằng - Chỉnh sửa nội dung trang index.html dịch vụ HTTP Bước 10: - Tại PC, thiết lập chế độ lấy địa động (do Router0 cấp phát) o Các máy thuộc Phòng Kinh doanh có địa 192.168.10.x o Các máy thuộc Phòng Thiết bị có địa 192.168.20.x o Các máy thuộc Phòng Tài có địa 192.168.20.x - Ping kiểm tra từ PC tới máy chủ HTTP Server (8.8.8.8) thấy máy liên lạc tốt với máy chủ THỰC HÀNH MẠNG MÁY TÍNH ThS.Trần Quang Hải Bằng - Mở Web Browser từ PC nhập vào địa www.company.com thấy có nội dung trang index.html sau: Tuy nhiên: Nếu thực ping từ PC có địa IP thuộc phòng khác (192.168.20.6 tới 192.168.10.2) có reply bình thường → PC thuộc đơn vị khác liên lạc với (Giải thích sao?) Bước 11: Tại Router0 tiến hành định nghĩa luật ACL VLAN - Định nghĩa luật lọc traffic áp dụng VLAN 10: o cấm ip traffic từ mạng 192.168.20.0/24 mạng 192.168.30.0/24 o cho phép ip traffic từ mạng khác #config terminal #access-list 110 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 #access-list 110 deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 #access-list 110 permit ip any any #end #config terminal #interface f0/0.10 #ip access-group 110 in THỰC HÀNH MẠNG MÁY TÍNH ThS.Trần Quang Hải Bằng #end - Định nghĩa luật lọc traffic áp dụng VLAN 20: o cấm ip traffic từ mạng 192.168.10.0/24 mạng 192.168.30.0/24 o cho phép ip traffic từ mạng khác #config terminal #access-list 120 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 #access-list 120 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255 #access-list 120 permit ip any any #end #config terminal #interface f0/0.20 #ip access-group 120 in #end - Định nghĩa luật lọc traffic áp dụng VLAN 30: o cấm ip traffic từ mạng 192.168.10.0/24 mạng 192.168.20.0/24 o cho phép ip traffic từ mạng khác #config terminal #access-list 130 deny ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 #access-list 130 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255 #access-list 130 permit ip any any #end #config terminal #interface f0/0.30 #ip access-group 130 in #end Tại Router0 ta kiểm ta lại cấu hình ACL lệnh >enable #show access-lists THỰC HÀNH MẠNG MÁY TÍNH ThS.Trần Quang Hải Bằng Bước 12: Bây kiểm tra lại thử xem PC thuộc đơn vị khác không liên lạc với – Nhưng PC mạng truy cập internet (vào địa www.company.com ) ... thuộc đơn vị khác liên lạc với (Giải thích sao?) Bước 11: Tại Router0 tiến hành định nghĩa luật ACL VLAN - Định nghĩa luật lọc traffic áp dụng VLAN 10: o cấm ip traffic từ mạng 192.168.20.0/24... #config terminal #interface f0/0.30 #ip access-group 130 in #end Tại Router0 ta kiểm ta lại cấu hình ACL lệnh >enable #show access-lists THỰC HÀNH MẠNG MÁY TÍNH ThS.Trần Quang Hải Bằng Bước 12: Bây
Ngày đăng: 04/11/2019, 23:43
Xem thêm: