Phần mềm Cisco IOS cung cấp một sự thiết lập mở rộng của những tính năng bảo mật với cái mà bạn có thể cấu hình firewall đơn giản hay phức tạp, tuỳ
theo mức độ những yêu cầu. Khi bạn cấu hình những tính năng của Cisco IOS
firewall trên Router Cisco, bạn thay đổi router của bạn vào trong một firewall có
hiệu quả mạnh mẽ
mạng
5.1 Tạo ra Access list mở rộng và sử dụng số Access list
Để tạo ra một access list mở rộng cái mà chắc chắn không cho phép hoặc
cho phép kiểu traffic, hoàn thành những bước sau bắtđầu trong chếđộ cấu hình toàn cục.
Lệnh Mục địch Bước 1 Hq(config)# access-list 102
deny tcp any any
Xác định acces-list 102 và cấu hình access-list để từ chối tất cả các dịch
vụ của TCP Bước 2 Hq(config)# access-list 102
deny udp any any
Cấu hình access-list 102 để từ chối
tất cả các dịch vụ UDP Bước 3 Hq(config)# access-list 102
permit ip any any
Cấu hình access-list 102 để cho
phép tất cả dịch vụ IP
5.2 Kiểm tra Access list mở rộng.
Để kiểm tra cấu hình đưa vào lệnh Show access-list 102 trong chế độ
EXEC để hiển thị nội dùng của access-list. hq-sanjose# show access-list 102 Extended IP access list 102 deny tcp any any
deny udp any any permit ip any any
5.3 Áp dụng Access-list tới Interface
Sau khi tạo ra một access-list bạn có thể áp dụng nó vào một hoặc nhiều
interface. Access-list có thểđược áp dụngđi ra ngoài hoặc đi vào trong interface
Để áp dụng một access-list đi vào hoặc đi ra một interface, hoàn thành những bước sau đây bắt đầu trong chếđộ cấu hình toàn cục.
Lệnh Mục đích Bước 1 Hq-sanjose(config)# interface
serial 1/0
Chỉ rõ serial interface 1/0 trên
headquarter router và đưa vào chế độ cấu hình interface
Bước 2 Hq-sanjose(config-if)# ip access-group 102 in
Cấu hình access-list 102 đi vào
trong serial interface 1/0 trên headquarter router.
Bước 3 Hq-sanjose(config-if)# ip access-group 102 out
Cấu hình access-list 102 đi ra ngoài
serial interface 1/0 headquarter router.
Bước 4 Hq-sanjose(config-if)# exit
Hq-sanjose(config)#
Trở lại chế độ cấu hình toàn cục
5.4 Kiểm tra Access-list được áp dụng chính xác
Để kiểm tra cấu hình. Đưa vào lệnh Show ip interface 1/0 trong chế độ
EXEC để xác nhận access-list đã được áp dụng chính xác trên interface. hq-sanjose# show ip interface serial 1/0
Serial1/0 is up, line protocol is up Internet address is 172.17.2.4
Broadcast address is 255.255.255.255 Address determined by setup command Peer address is 172.24.2.5
MTU is 1500 bytes Helper address is not set
Directed broadcast forwarding is disabled Outgoing access list is 102
Inbound access list is 102 -Display text omitted- Kêt luận:
Trong bài viết chúng ta đã cùng nhau lướt qua cách thiết lập một VPN trên phần mềm Cisco IOS. Thật ra đây là một cách thiết lập khá phức tạp và đòi hỏi một kỹ năng thực hành cao, có độ hiểu biết nhất định về cấu hình router để
xác đinh được mụcđích bài cấu hình.
Phần mềm Cisco IOS rất mạnh và cũng là một phần mềm chẳng đơn giản
chút nào. Có rất nhiều option trong chếđộ cấu hình toàn cục, nếu bạn biết cách phát huy hay sử dụng nó đúng thì bạn có thể trở thành một người quản trị mạng
giỏi
Tốt nhất khi thiết lập bất kỳ cấu hình nào, điều mà bạn nên nhơ đầu tiên là có gắngđơn giản việc thiết lậpđể chắc chắn rằng những cái chúng ta vừa thiết
Chương 5
CẤU HÌNH VPN TRÊN WINDOWS SERVER 2003
1. Giới thiệu chung
VPN trên Windows 2003 dưới dạng Remote Access sẽ cho phép các máy
tính truy nhập đến mạng nội bộ của công ty thông qua Internet. Có thể xây dựng
một mô hình đơn giản như sau:
Modem ADSL có địa chỉ IP tĩnh. Trong trường hợp không có địa chỉ IP
tĩnh, có thể sử dụng DDNS.
01 máy tính cài hệ điều hành Windows 2003 Server. Máy tính này sử
dụng để cấu hình VPN Server. Máy tính này nên sử dụng 02 card mạng.
Máy tính từ xa sử dụng Windows XP, Windows 2000, có thể đặt kết nối VPN để kết nối đến Server nói trên
Hình 59