Đang tải... (xem toàn văn)
(NB) Nối tiếp phần 1 Giáo trình Thực hành Mạng cisco cơ bản: Phần 2 gồm 3 bài học được trình bày như sau Cấu hình định tuyến động sử dụng giao thức ospf; Network address translation; Access control list. Mời các bạn cùng tham khảo!
BÀI 4: CẤU HÌNH ĐỊNH TUYẾN ĐỘNG SỬ DỤNG GIAO THỨC RIP BÀI CẤU HÌNH ĐỊNH TUYẾN ĐỘNG SỬ DỤNG GIAO THỨC OSPF Họ tên sinh viên: Ngày: Thời gian thực hiện: tiết Điểm Lời phê Kỹ thuật (6đ): Thao tác (1đ): An toàn (1đ): Tổ chức nơi làm việc (1đ): Thời gian (1đ): I MỤC ĐÍCH - YÊU CẦU Mục đích Trang bị cho người học: - Kỹ cấu hình định tuyễn động dùng giao thức OSPF - Kỹ nhận biết khắc phục lỗi thông thường định tuyến động dùng OSPF Yêu cầu Sau hoàn thành thực hành, người học cần đạt u cầu sau: - Cấu hình thành cơng định tuyến tĩnh động dùng OSPF - Xử lý lỗi thông thường định tuyến - Nắm ưu điểm OSPF so với giao thức khác II NỘI DUNG THỰC HÀNH ➢ Lý thuyết: OSPF giao thức link-state điển hình Mỗi router chạy giao thức gửi trạng thái đường link cho tất router vùng Sau thời gian router đồng sở liệu với nhau, router có “bản đồ mạng” vùng OSPF dùng giải thuật SPF để tính tốn đường Giải thuật gọi giải thuật Dijkstra Các routing protocol nhóm link state khơng broadcast tồn thơng tin bảng định tuyến RIP/IGRP; thay vào đó, OSPF dùng trình để khám phá láng giềng (neighbor) Các láng giềng định nghĩa tĩnh 54 BÀI 4: CẤU HÌNH ĐỊNH TUYẾN ĐỘNG SỬ DỤNG GIAO THỨC RIP Hoat động OSPF mô tả thông qua bước sau: - Bầu chọn router ID - Thiết lập quan hệ láng giềng - Trao đổi thông tin trạng thái đường link - Tính tốn xây dựng bảng định tuyến Lệnh hiệu chỉnh priority: Router(config-if)#ip ospf priority number Cấu hình định tuyến: RouterX(config)#router ospf process-id RouterX(config-router)#network [address] [wildcard-mask] area [area-id] Xem bảng định tuyến: R(config)#show ip route ospf Dùng lệnh clear ip route * để xố tồn route từ bảng định tuyến R1# clear ip route * Dùng lệnh clear ip ospf process reload để kích hoạt lại trình định tuyến OSPF: R1#clear ip ospf process Xem q trình gửi nhận thơng tin định tuyến OSPF lệnh debug ip ospf events: R1#debug ip ospf events Tắt chế độ debug lệnh undebug all: R1#undebug all ➢ Ch̉n bị : - Máy tính có hệ điều hành Windows - Thiết bị Cisco - Dây cáp kết nối ➢ Thực hành: Cấu hình OSPF đơn vùng Phần thực hành giúp người học nắm vững: - Router R1, R2 sử dụng OSPF để quảng bá thông tin định tuyến 55 BÀI 4: CẤU HÌNH ĐỊNH TUYẾN ĐỘNG SỬ DỤNG GIAO THỨC RIP - Router R1 hoạt động DCE cung cấp xung clock cho R2 - Từ router R1, R2 ping hết địa mạng Hình 5.1 Cấu hình định tuyến động OSPE đơn vùng Các bước thực hiện: Đặt hostname, cấu hình cho cổng loopback FastEthernet Serial R1, R2 Bước 1: Cấu hình R1 Router> en Router# conf t Router(config)# hostname R1 R1(config)# no ip domain-lookup R1(config)#inter f0/0 R1(config-if)#ip addr 131.108.1.1 255.255.255.0 R1(config-if)#no keepalive R1(config-if)#no shut R1(config-if)#exit R1(config)# %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up R1(config)#int lo0 R1(config-if)#ip addr 131.108.4.1 255.255.255.255 -> Loopback nên đặt netmask /32 R1(config-if)#int lo1 R1(config-if)#ip addr 131.108.4.2 255.255.255.255 56 BÀI 4: CẤU HÌNH ĐỊNH TUYẾN ĐỘNG SỬ DỤNG GIAO THỨC RIP R1(config-if)#int lo2 R1(config-if)#ip addr 131.108.4.3 255.255.255.255 R1(config-if)#exit R1(config)#int s0/1 R1(config-if)#ip addr 131.108.3.1 255.255.255.252 R1(config-if)#clock rate 64000 R1(config-if)#no shut R1(config-if)#exit Bước 2: Cấu hình R2 Router> en Router# conf t Router(config)# hostname R2 R2(config)# no ip domain-lookup R2(config)#int f0/0 R2(config-if)#ip addr 131.108.2.1 255.255.255.0 R2(config-if)#no keepalive R2(config-if)#no shut R2(config-if)#int lo0 R2(config-if)#ip addr 131.108.4.4 255.255.255.255 R2(config-if)#int lo1 R2(config-if)#ip addr 131.108.4.5 255.255.255.255 R2(config-if)#int lo2 R2(config-if)#ip addr 131.108.4.6 255.255.255.255 R2(config-if)#exit R2(config)#int s0/0 R2(config-if)#ip addr 131.108.3.2 255.255.255.252 R2(config-if)#no shut Bước 3: Cấu hình giao thức định tuyến OSPF với process number R1 lưu cấu hình vào NVRAM R1(config)#router ospf R1(config-router)#network 131.108.1.0 0.0.0.255 area -> OSPF đơn vùng bắt buộc phải dùng area R1(config-router)#network 131.108.4.1 0.0.0.0 area 57 BÀI 4: CẤU HÌNH ĐỊNH TUYẾN ĐỘNG SỬ DỤNG GIAO THỨC RIP R1(config-router)#network 131.108.4.2 0.0.0.0 area R1(config-router)#network 131.108.4.3 0.0.0.0 area R1(config-router)#network 131.108.3.0 0.0.0.3 area R1(config-router)#end R1#copy run start Chú ý: - Giá trị process mang ý nghĩa cục router, chạy lúc nhiều process ospf khác - Wildcard mask 0.0.0.0 xác địa kiểm tra, wildcard mask 0.0.0.255 nghĩa octet đầu bị kiểm tra - Ví dụ: Network 131.1.1.0 , Wildcard mask 0.0.0.255 nghĩa kiểm tra địa từ 131.1.1.1 đến 131.1.1.254 Bước 4: Cấu hình giao thức định tuyến OSPF với process number R2 lưu cấu hình vào NVRAM R2(config)#router ospf R2(config-router)#network 131.108.2.1 0.0.0.255 area R2(config-router)#network 131.108.4.4 0.0.0.0 area R2(config-router)#network 131.108.4.5 0.0.0.0 area R2(config-router)#network 131.108.4.6 0.0.0.0 area R2(config-router)#network 131.108.3.1 0.0.0.3 area R2(config-router)#end R2#copy run start Trong OSPF có sử dụng ID: - Router ID: gửi từ router gói tin hello Nó có độ dài 32bit có giá trị địa IP lớn sử dụng router Nếu router có giao diện loopback cấu hình router ID địa IP loopback Trong trường hợp có nhiều giao diện loopback lấy địa lớn loopback làm router ID Router ID sử dụng để phân biệt router nằm mọt autonomous system - Process ID: tham số cấu hình ta đánh lện router ospf process ID - Area ID: tham số đẻ group nhóm router vào area Các router chùng chia se hiểu biết đường học miền OSPF Việc chia thành nhiều area để tiện việc quản lý đồng thời giúp ta giới hạn kích thước topology database Giả sử ta có vùng với kích thước lớn lúc ta có topology database lớn tương ứng khiến cho việc xử lý router chậm 58 BÀI 4: CẤU HÌNH ĐỊNH TUYẾN ĐỘNG SỬ DỤNG GIAO THỨC RIP Bước 5: Kiểm tra giải cố Dùng lệnh clear ip route * để xố tồn route từ bảng định tuyến R1# clear ip route * Dùng lệnh clear ip ospf process reload để kích hoạt lại q trình định tuyến OSPF R1#clear ip ospf process Xem trình gửi nhận thông tin định tuyến OSPF lệnh debug ip ospf events R1#debug ip ospf events OSPF:hello with invalid timers on interface fastEthernet 0/0 hello interval received 10 configured 10 net mask received 255.255.255.0 configured 255.255.255.0 dead interval received 40 configured 30 R1#debug ip ospf packet OSPF: rcv v:2 t:1 l:48 rid:200.0.0.117 aid:0.0.0.0 chk:6AB2 aut:0 auk: Tắt chế độ debug lệnh undebug all R1#undebug all All possible debugging has been turned off Xem bảng định tuyến R1 lệnh show ip route R1#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type E1 - OSPF external type 1, E2 - OSPF external type i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 131.108.0.0/16 is variably subnetted, subnets, masks C 131.108.4.3/32 is directly connected, Loopback2 59 BÀI 4: CẤU HÌNH ĐỊNH TUYẾN ĐỘNG SỬ DỤNG GIAO THỨC RIP C 131.108.4.2/32 is directly connected, Loopback1 C 131.108.4.1/32 is directly connected, Loopback0 C 131.108.3.0/30 is directly connected, Serial0/1 O IA 131.108.4.6/32 [110/65] via 131.108.3.2, 00:05:27, Serial0/1 O IA 131.108.2.0/24 [110/65] via 131.108.3.2, 00:05:27, Serial0/1 O IA 131.108.4.5/32 [110/65] via 131.108.3.2, 00:05:27, Serial0/1 C 131.108.1.0/24 is directly connected, FastEthernet0/0 O IA 131.108.4.4/32 [110/65] via 131.108.3.2, 00:05:28, Serial0/1 Từ R1, bạn thấy có route OSPF học từ next hop 131.18.3.2 qua cổng S0/1 Chú ý: Số AD trường học OSPF 110 (RIP 120, IGRP 100) Ký tự O cho biết route loại OSPF, IA cho biết mạng xa thuộc area khác Dùng lệnh show ip route ospf router R2 để xem route OSPF R2#show ip route ospf 131.108.0.0/16 is variably subnetted, subnets, masks O IA 131.108.4.3/32 [110/65] via 131.108.3.1, 00:07:57, Serial0/0 O IA 131.108.4.2/32 [110/65] via 131.108.3.1, 00:07:57, Serial0/0 O IA 131.108.4.1/32 [110/65] via 131.108.3.1, 00:07:57, Serial0/0 O IA 131.108.1.0/24 [110/74] via 131.108.3.1, 00:07:57, Serial0/0 Nhận xét: - Ưu điểm OSPF so với RIP gì? - Để cấu hình định tuyến động dừng OSPF cần sử dụng lệnh nào? - Nêu ý nghĩa Router ID, Process ID, Area ID - Nêu tác dụng Wildcard mask 60 BÀI 4: CẤU HÌNH ĐỊNH TUYẾN ĐỘNG SỬ DỤNG GIAO THỨC RIP Bài tập: Sinh viên tiến hành cấu hình OSPF đơn vùng cho sơ đồ Cấu hình OSPF đa vùng Phần thực hành gồm nội dung nâng cao, giúp người học nắm vững: - Router R1, R2 sử dụng OSPF để quảng bá thông tin định tuyến - Router R1 hoạt động DCE cung cấp xung clock cho R2 - Các router cấu hình giao thức định tuyến OSPF để liên lạc area - Từ router R1, R2 ping hết địa mạng Hình 5.2 Cấu hình định tuyến động OSPE đa vùng 61 BÀI 4: CẤU HÌNH ĐỊNH TUYẾN ĐỘNG SỬ DỤNG GIAO THỨC RIP OSPF dùng giải thuật SPF để tính tốn đường Giải thuật gọi giải thuật Dijkstra Các routing protocol nhóm link state khơng broadcast tồn thông tin bảng định tuyến RIP/IGRP, thay vào đó, OSPF dùng q trình để khám phá láng giềng (nieghbor) Các láng giềng định nghĩa tĩnh Router láng giềng router khác, chạy OSPF, có chung subnet với router hành Khi router thiết lập quan hệ láng giềng với nhay, router bắt đầu trao đổi thơng tin đồ hình (topology) mạng Giải thuật SPF chạy database để tính đường tốt Các bước thực hiện: Đặt hostname, cấu hình cho cổng loopback FastEthernet Serial R1, R2 Bước 1: Cấu hình R1 Router> en Router# conf t Router(config)# hostname R1 R1(config)# no ip domain-lookup R1(config)#inter f0/0 R1(config-if)#ip addr 131.108.1.1 255.255.255.0 R1(config-if)#no keepalive R1(config-if)#no shut R1(config-if)#exit R1(config)# %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up R1(config)#int lo0 R1(config-if)#ip addr 131.108.4.1 255.255.255.255 R1(config-if)#int lo1 R1(config-if)#ip addr 131.108.4.2 255.255.255.255 R1(config-if)#int lo2 R1(config-if)#ip addr 131.108.4.3 255.255.255.255 R1(config-if)#exit R1(config)#int s0/1 R1(config-if)#ip addr 131.108.3.1 255.255.255.252 R1(config-if)#clock rate 64000 R1(config-if)#no shut 62 BÀI 4: CẤU HÌNH ĐỊNH TUYẾN ĐỘNG SỬ DỤNG GIAO THỨC RIP R1(config-if)#exit Bước 2: Cấu hình R2 Router> en Router# conf t Router(config)# hostname R2 R2(config)# no ip domain-lookup R2(config)#int f0/0 R2(config-if)#ip addr 131.108.2.1 255.255.255.0 R2(config-if)#no keepalive R2(config-if)#no shut R2(config-if)#int lo0 R2(config-if)#ip addr 131.108.4.4 255.255.255.255 R2(config-if)#int lo1 R2(config-if)#ip addr 131.108.4.5 255.255.255.255 R2(config-if)#int lo2 R2(config-if)#ip addr 131.108.4.6 255.255.255.255 R2(config-if)#exit R2(config)#int s0/0 R2(config-if)#ip addr 131.108.3.2 255.255.255.252 R2(config-if)#no shut Bước 3: Cấu hình giao thức định tuyến OSPF với process number R1 lưu cấu hình vào NVRAM R1(config)#router ospf R1(config-router)#network 131.108.1.0 0.0.0.255 area R1(config-router)#network 131.108.4.1 0.0.0.0 area R1(config-router)#network 131.108.4.2 0.0.0.0 area R1(config-router)#network 131.108.4.3 0.0.0.0 area R1(config-router)#network 131.108.3.1 0.0.0.0 area R1(config-router)#end R1#copy run start Chú ý: - Giá trị process mang ý nghĩa cục router, chạy lúc nhiều process ospf khác 63 BÀI 6: NETWORK ADDRESS TRANSLATION (NAT) 198.133.219.3 255.255.255.0 198.133.219.12 netmask Company(config)#access-list 172.16.10.0 0.0.0.255 permit Tạo ACL phép địa IP Private NAT Company(config)#ip nat inside source list Tạo Nat cách gán list với interface pool company s0/0/0 Phương pháp Overloading thực thi Company(config)#interface f0/0 Chuyển cấu hình vào chế độ interface fa0/0 Company(config-if)#ip nat inside Gán vai trò cho interface inside Company(config-if)#interface serial 0/0/0 Chuyển vào chế độ interface 0/0/0 Company(config-if)#ip nat outside Gán vai trò cho interface outside Company#wr Lưu file cấu hình chạy RAM vào NVRAM interface interface fa0/0 s0/0/0 Phương pháp PAT Trên Router Company Router router(config)#host Company Đặt tên cho router Company Company(config)#no ip domain-lookup Tắt tính tự động phân giải câu lệnh bạn nhập sai Company(config)#enable secret 123 Đặt mật khẩ cho enable secret 123 Company(config)#line console Chuyển cấu hình vào chế độ line console Company(config-line)#login Yêu cầu người dùng phải nhập thông tin truy cập thực kết nối vào router thông qua port console Company(config-line)#password 123 Đặt mật cho việc truy cập vào router thông qua console 123 Company(config-line)#logging Synchronous Khơng cho phép ngắt câu lệnh sang dòng có log hiển thị hình console Company(config)#interface f0/0 Chuyển cấu hình interface fa0/0 vào chế độ Company(config-if)#ip address 172.16.10.1 Gán địa IP subnet mask cho interface 255.255.255.0 Company(config-if)#no shutdown Bật interface 79 là BÀI 6: NETWORK ADDRESS TRANSLATION (NAT) Company(config-if)#interface serial 0/0/0 Company(config-if)#ip 198.133.219.1 255.255.255.0 Chuyển cấu hình interface s0/0/0 vào độ chế address Gán địa IP subnet mask cho Company(config-if)#no shutdown interface s0/0/0 Bật interface Company(config)#ip route 0.0.0.0 0.0.0.0 Cấu hình default route static 198.133.219.2 Company(config)#access-list permit 172.16.10.0 0.0.0.255 Tạo ACL phép địa IP Private NAT Company(config)#ip nat inside source list Tạo Nat cách gán list với interface s0/0/0 overload interface s0/0/0 Phương pháp Overloading thực thi Company(config)#interface f0/0 Chuyển cấu hình vào chế độ interface fa0/0 Company(config-if)#ip nat inside Gán vai trò cho interface inside Company(config-if)#interface serial 0/0/0 Chuyển cấu hình interface s0/0/0 Company(config-if)#ip nat outside Gán vai trò cho interface s0/0/0 interface outside Company#wr Lưu file cấu hình chạy RAM vào NVRAM interface vào chế fa0/0 độ Nhận xét: - Khi cần cấu hình NAT? - Liệt kê phương pháp NAT thực thực hành - Hãy nêu khác biệt NAT tính, NAT động, PAT 80 BÀI 6: NETWORK ADDRESS TRANSLATION (NAT) Bài tập: Cấu hình NAT cho sơ đồ sau 81 BÀI 7: ACCESS CONTROL LIST BÀI ACCESS CONTROL LIST Họ tên sinh viên: Ngày: Thời gian thực hiện: tiết Điểm Lời phê Kỹ thuật (6đ): Thao tác (1đ): An toàn (1đ): Tổ chức nơi làm việc (1đ): Thời gian (1đ): I MỤC ĐÍCH - YÊU CẦU Mục đích Trang bị cho người học: - Kỹ cấu hình ACL - Kỹ nhận biết khắc phục lỗi thông thường Yêu cầu Sau hoàn thành thực hành, người học cần đạt u cầu sau: - Cấu hình thành cơng loại ACL Standard, ACL Extended, … - Xử lý lỗi cố thông thường - Phân biệt ưu, nhược điểm loại ACL II NỘI DUNG THỰC HÀNH ➢ Ch̉n bị - Máy tính có hệ điều hành Windows - Thiết bị Cisco - Dây cáp kết nối Ôn lại lý thuyết Access List numbers: 1–99 or 1300–1999 Standard IP 82 BÀI 7: ACCESS CONTROL LIST 100–199 or 2000–2699 Extended IP 600–699 AppleTalk 800–899 IPX 900–999 Extended IPX 1000–1099 IPX Service Advertising Protocol Các từ khóa ACL: Any Được sử dụng để thay cho 0.0.0.0 255.255.255.255, trường hợp tương ứng với tất địa mà ACL thực so sánh Host Được sử dụng để thay cho 0.0.0.0, trường hợp tương ứng với địa IP Tạo ACL Standard: 172.16.0.0 0.0.255.255 Tất gói tin có địa IP nguồn 172.16.x.x phép truyền tiếp access-list Câu lệnh ACL 10 Chỉ số nằm khoảng từ đến 99, 1300 đến 1999, sử dụng cho ACL standard Permit Các gói tin tương ứng với câu lệnh cho phép 172.16.0.0 Địa IP nguồn so sánh 0.0.255.255 Wildcard mask Router(config)#access-list 10 permit Router(config)#access-list 10 deny host Tất gói tin có địa IP nguồn 172.17.0.1 172.17.0.1 phép truyền tiếp access-list Câu lệnh ACL 10 Chỉ số nằm khoảng từ đến 99, 1300 đến 1999, sử dụng cho ACL standard Deny Các gói tin tương ứng với câu lệnh bị chặn lại Host Từ khóa 172.17.0.1 Chỉ địa host Router(config)#access-list 10 permit any Tất gói tin tất mạng phép truyền tiếp 83 BÀI 7: ACCESS CONTROL LIST access-list Câu lệnh ACL 10 Chỉ số nằm khoảng từ đến 99, 1300 đến 1999, sử dụng cho ACL standard Permit Các gói tin tương ứng với câu lệnh cho phép any Từ khóa tương ứng với tất địa IP Gán ACL Standard cho interface: Router(config)#int fastethernet 0/0 Chuyển cấu hình vào chế độ interface fa0/0 Router(config-if)#ip access-grou 10 in Câu lệnh sử dụng để gán ACL 10 vào interface fa0/0 Những gói tin vào router thông qua interface fa0/0 kiểm tra Chú ý: - Access list gán vào interface theo hai hướng: hướng vào (dùng từ khóa in) hướng (dùng từ khóa out) - Gán ACL standard vào vị trí gần mạng đích thiết bị đích Kiểm tra ACL: Router#show ip interface Hiển thị tất ACL gán vào interface Router#show access-lists Hiển thị nội dung tất ACL router Router#show number access-list access-list- Hiển thị nội dung ACL có số câu lệnh Router#show access-list name Hiển thị nội dung ACL có tên câu lệnh Router#show run Hiển thị file cấu hình chạy RAM Xóa ACL: Router(config)#no access-list 10 Xóa bỏ ACL có số 10 Tạo ACL Extended: Router(config)#access-list 110 permit tcp Các gói tin HTTP có địa IP nguồn 172.16.0.0 0.0.0.255 192.168.100.0 172.16.0.x cho phép truyền đến 84 BÀI 7: ACCESS CONTROL LIST 0.0.0.255 eq 80 mạng đích 192.168.100.x access-list Câu lệnh ACL 110 Chỉ số nằm khoảng từ 100 đến 199, từ 2000 đến 2699 sử dụng để tạo ACL extended IP Permit Những gói tin tương ứng với câu lệnh cho phép Tcp Giao thức sử dụng phải TCP 172.16.0.0 Địa IP nguồn sử dụng để so sánh 0.0.0.255 Wildcard mask địa IP nguồn 192.168.100.0 Địa IP đích dùng để so sánh 0.0.0.255 Wildcard mask địa IP đích Eq Tốn tử 80 Port 80, dùng cho lưu lượng HTTP Router(config)#access-list 110 any 192.168.100.7 0.0.0.0 eq 23 deny tcp Các gói tin Telnet có địa IP nguồn bị chặn lại chúng truy cập đến đích 192.168.100.7 access-list Câu lệnh ACL 110 Chỉ số nằm khoảng từ 100 đến 199, từ 2000 đến 2699 sử dụng để tạo ACL extended IP Deny Những gói tin tương ứng với câu lệnh bị từ chối Tcp Giao thức sử dụng TCP Any Từ khóa tương ứng với tất địa mạng 192.168.100.7 Là địa IP đích 0.0.0.0 Wildcard mask đích Eq Toán từ 23 Port 23, port ứng dụng telnet Gán ACL Extended cho interface: Router(config)#interface fastethernet 0/0 Chuyển cấu hình vào chế độ interface fa0/0 Router(config-if)#ip access-group 110 out Gán ACL 110 vào interface theo chiều out Những gói tin khỏi interface fa0/0 kiểm tra 85 BÀI 7: ACCESS CONTROL LIST Chú ý: - Access list gán vào interface theo hai hướng: hướng vào (dùng từ khóa in) hướng (dùng từ khóa out) - Duy access list gán cho interface, theo hướng - Gán ACL extended vị trí gần mạng nguồn thiết bị nguồn Tạo ACL Named: Router(config)#ip access-list extended Tạo ACL extended tên seraccess chuyển cấu hình vào chế độ ACL configuration Serveraccess Router(config-ext-nacl)#permit host 131.108.101.99 eq smtp tcp any Cho phép gói tin mail từ tất địa nguồn đến host có địa 131.108.101.99 Router(config-ext-nacl)#permit host 131.108.101.99 eq domain udp any Cho phép gói tin Domain Name System (DNS) từ tất địa nguồn đến địa đích 131.108.101.99 Router(config-ext-nacl)#deny ip any any log Không cho phép tất gói tin từ mạng nguồn đến tất mạng đích Nếu gói tin bị chặn lại phép đưa log Router(config)#interface fastethernet 0/0 Chuyển cấu hình vào chế độ interface fa0/0 Router(config-if)#ip access-group Gán ACL serveaccess vào interface fa0/0 serveraccess out theo chiều Sử dụng Sequence Number ACL named: Router(config)#ip access-list extended Tạo ACL serveraccess2 serveraccess2 Router(config-ext-nacl)#10 permit tcp any host 131.108.101.99 eq smtp extended tên Sử dụng giá trị sequence number 10 cho dòng lệnh Router(config-ext-nacl)#20 permit udp Sử dụng giá trị sequence number any host 131.108.101.99 eq domain 20 cho dòng lệnh Router(config-ext-nacl)#30 deny ip any Sử dụng giá trị sequence number any log 30 cho dòng lệnh Router(config-ext-nacl)#exit Trở chế độ cấu hình Global Configuration Router(config)#interface fastethernet 0/0 Chuyển cấu hình vào chế độ interface fa0/0 86 BÀI 7: ACCESS CONTROL LIST Router(config-if)#ip serveraccess2 out access-group Gán ACL tên serveraccess2 vào interface fa0/0 theo chiều Router(config-if)#exit Trở chế độ cấu hình Global Configuration Router(config)#ip access-list extended Chuyển cấu hình vào ACL tên serveraccess2 serveraccess2 Router(config-ext-nacl)#25 permit tcp Sử dụng giá trị sequence number any host 131.108.101.99 eq ftp 25 cho dòng lệnh Router(config-ext-nacl)#exit Trở chế Configuration độ cấu hình Global Chú ý: - Sử dụng Sequence Number cho phép bạn dễ dàng sửa câu lệnh ACL named Trong ví dụ sử dụng số 10, 20, 30 cho dòng lệnh ACL - Tham số sequence-number phép cấu hình phiên phần mềm Cisco IOS 12.2 trở lên Xóa câu lệnh ACL named sử dụng sequence number: Router(config)#ip access-list extended Chuyển cấu hình vào chế độ ACL serveraccess2 serveraccess2 Router(config-ext-nacl)#no 20 Xóa câu lệnh có giá trị Sequence number 20 Router(config-ext-nacl)#exit Trở chế Configuration độ cấu hình Global Những ý sử dụng Sequence Number: - Sequence Number khởi tạo từ giá trị 10 tăng nên 10 cho dòng lệnh ACL named - Nếu bạn quên không gán giá trị Sequence Number trước câu lệnh, câu lệnh gán tự động vào cuối ACL - Sequence Number thay đổi router router khởi động để phản ánh khả tăng 10 policy Nếu ACL bạn có số 10, 20, 30, 40, 50 60 ACL khởi động lại số trở thành 10, 20, 30, 40, 50, 60, 70 - Sequence Number khơng thể nhìn thấy bạn sử dụng câu lệnh Router# show running-config Router# show startup-config Để nhìn thấy giá trị Sequence Number, bạn sử dụng câu lệnh sau: Router#show access-lists Router#show access-lists list name 87 BÀI 7: ACCESS CONTROL LIST Router#show ip access-list Router#show ip access-list list name Tích hợp comments cho toàn ACL: Router(config)#access-list 10 remark only Jones has access Router(config)#access-list 172.16.100.119 Router(config)#ip Telnetaccess permit Host có địa IP 172.16.100.119 cho phép truyền liệu đến mạng khác 10 access-list Với từ khóa remark cho phép bạn tích hợp thêm ghi (giới hạn 100 ký tự) extended Tạo ACL extended tên telnetaccess Router(config-ext-nacl)#remark not let Smith have telnet Router(config-ext-nacl)#deny 172.16.100.153 any eq telnet tcp Với từ khóa remark cho phép bạn tích hợp thêm ghi (giới hạn là100 ký tự) host Host có địa IP 172.16.100.153 bị từ chối thực telnet đến mạng khác Chú ý: - Bạn sử dụng từ khóa remark với ACL standard, ACL extended ACL named - Bạn sử dụng từ khóa remark trước sau câu lệnh permit deny Sử dụng ACL để hạn chế truy cập router thông qua telnet: Router(config)#access-list permit host Cho phép host có địa IP 172.16.10.2 172.16.10.2 telnet vào router Router(config)#access-list 172.16.20.0 0.0.0.255 permit Cho phép host nằm mạng 172.16.20.x telnet vào router Mặc định có câu lệnh deny all cuối ACL tạo Router(config)#line vty Chuyển cấu hình vào chế độ line vty Router(config-line)#access-class in Gán ACL vào chế độ line vty theo chiều vào router Khi gói tin telnet đến router kiểm tra Chú ý: Khi cấu hình hạn chế truy cập vào router thông qua telnet, sử dụng câu lệnh access-class thay sử dụng câu lệnh access-group 88 BÀI 7: ACCESS CONTROL LIST Cấu hình ACL Hình bên sơ đồ mạng sử dụng để cấu hình ACL Những câu lệnh sử dụng ví dụ nằm phạm vi Hình 7.1 Cấu hình ACL Viết ACL để chặn không cho phép mạng 172.16.10.0 truy cập đến mạng 172.16.40.0 cho phép ngược lại RedDeer(config)#access-list 10 deny 172.16.10.0 0.0.0.255 Tạo ACL standard để không cho phép mạng 172.16.10.0 RedDeer(config)#access-list 10 permit Dùng câu lệnh để làm tác dụng any câu lệnh ẩn deny all RedDeer(config)#int f0/0 RedDeer(config)#ip out Chuyển cấu hình vào chế độ interface fa0/0 access-group 10 Gán ACL 10 vào interface fa0/0 theo chiều 89 BÀI 7: ACCESS CONTROL LIST Viết ACL không cho phép host 172.16.10.5 truy cập đến host 172.16.50.7 ngược lại cho phép Edmonton(config)#access list 115 deny Tạo ACL extended để không cho phép ip host 172.16.10.5 host 172.16.50.7 host 172.16.10.5 truy cập đến host 172.16.50.7 tất giao thức Edmonton(config)#access permit ip any any list 115 Dùng câu lệnh để làm tác dụng câu lệnh ẩn deny all Edmonton(config)#int f0/0 Chuyển cấu hình vào chế độ interface fa0/0 Edmonton(config)#ip access-group 115 Gán ACL 115 vào interface fa0/0 theo chiều vào in Viết ACL phép host 172.16.10.5 Telnet đến router Red Deer Các host khác RedDeer(config)#access-list 20 permit Tạo ACL 20 phép host host 172.16.10.5 172.16.10.5 sử dụng tất giao thức để truyền RedDeer(config)#line vty Chuyển cấu hình vào chế độ line vty RedDeer(config-line)#access-class 20 in Gán ACL 20 vào line vty thel chiều in Viết ACL named phép host 172.16.20.163 telnet đến host 172.16.70.2 Nhưng khơng có host mạng 20.0 telnet đến host 172.16.70.2 Ngồi host nằm mạng khác truy cập đến host 172.16.70.2 sử dụng giao thức khác Calgary(config)#ip access-list extended Tạo ACL extended tên serveraccess Serveraccess Calgary(config-ext-nacl)#10 permit tcp Cho phép host 172.16.20.163 telnet host 172.16.20.163 host 172.16.70.2 eq đến host 172.16.70.2 telnet Calgary(config-ext-nacl)#20 deny tcp Không cho phép host khác nằm 172.16.20.0 0.0.0.255 host 172.16.70.2 mạng 172.16.20.0 telnet đến host eq telnet 172.16.70.2 Calgary(config-ext-nacl)#30 permit ip Dùng câu lệnh để làm tác dụng câu any any lệnh ẩn deny all Calgary(config)#int fastethernet 0/0 Chuyển cấu hình vào chế độ interface fa0/0 Calgary(config)#ip access-group serveraccess out Gán ACL tên serveraccess vào interface fa0/0 theo chiều 90 BÀI 7: ACCESS CONTROL LIST Viết ACL để host từ 172.16.50.1 đến 172.16.50.63 không truy cập web đến host 172.16.80.16 Những host từ 172.16.50.64 đến 172.16.50.254 cho phép Tạo ACL để chặn lưu lượng HTTP từ mạng 172.16.50.0 0.0.0.63 đến host 172.16.80.16 RedDeer(config)#access-list 101 deny tcp 172.16.50.0 0.0.0.63 host 172.16.80.16 eq 80 RedDeer(config)#access-list 101 permit ip any any Dùng câu lệnh để làm tác dụng câu lệnh ẩn deny all RedDeer(config)#int f0/0 Chuyển cấu hình vào chế độ interface fa0/0 RedDeer(config)#ip access-group 101 in Gán ACL 101 vào interface fa0/0 theo chiều vào Nhận xét: - Tác dụng việc cấu hình ACL gì? - Liệt kê loại ACL thực thực hành - Hãy nêu khác biệt ACL Standard, ACL Extended, ACL Named 91 BÀI 7: ACCESS CONTROL LIST Bài tập: Cấu hình ACL cho sơ đồ sau thực yêu cầu a Sử dụng standard ACL cấm user telnet đến Router B b Sử dụng Extended ACL cổng F0/0 Router B cấm user Internet web 92 TÀI LIỆU THAM KHẢO [1] Wendell Odom, CCIE No.1624 - CCENT/CCNA ICND Official Exam Certification Guide, Second Edition, Cisco Press, 2008 [2] J F Kurose and K W Ross, Computer Networking: A Top-Down Approach Featuring the Internet, 6th Edition, Addison - Wesley, 2012 [3] Ngô Bá Hùng, Phạm Thế Phi, Giáo trình Mạng máy tính, Khoa CNTT, 2005 [4] Trương Quang Trung, Giáo trình Mạng máy tính, Trường CĐKT Cao Thắng, 2014 [5] Trương Quang Trung, Giáo trình Thực hành Mạng máy tính, Trường CĐKT Cao Thắng, 2014 [6] Thái Ngọc Anh Khôi, Lại Nguyễn Duy, Bài giảng CCNA, Trường CĐKT Cao Thắng, 2015 93 ... 131.108.4.5 25 5 .25 5 .25 5 .25 5 R2(config-if)#int lo2 R2(config-if)#ip addr 131.108.4.6 25 5 .25 5 .25 5 .25 5 R2(config-if)#exit R2(config)#int s0/0 R2(config-if)#ip addr 131.108.3 .2 255 .25 5 .25 5 .25 2 R2(config-if)#no... type 1, E2 - OSPF external type i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level -2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic... 25 5 .25 5 .25 5 .25 5 R2(config-if)#int lo2 R2(config-if)#ip addr 131.108.4.6 25 5 .25 5 .25 5 .25 5 R2(config-if)#exit R2(config)#int s0/0 R2(config-if)#ip addr 131.108.3 .2 255 .25 5 .25 5 .25 2 R2(config-if)#no shut Bước