0
Tải bản đầy đủ (.doc) (43 trang)

Cấu hình Access-Lists

Một phần của tài liệu HƯỚNG DẪN THỰC HÀNH THIẾT KẾ MẠNG POT (Trang 30 -35 )

7.1 Danh sách địa chỉ IP chuẩn cho phép truy cập vào mạng

Phần này hướng dẫn bạn cấm truy cập vào mạng 172.16.60.0 từ các host G và H. Danh sách truy cập có thể phức tạp bởi vì nếu bạn không tạo danh sách một cách chính xác, bạn có thể làm cho mạng bị down.

1. Kiểm tra là bạn có thể ping từ 1900C và bạn có thể ping máy E từ máy G và H.

2. Kết nối vào 2500A và tạo một danh sách truy cập mà cấm truy cập từ G và H khi muốn vào 172.16.60.0

2500A#config t

2500A(config)#access-list 10 deny host 172.16.80.3 2500A(config)#access-list 10 deny host 172.16.90.3 2500A(config)#access-list 10 permit any

Lưu ý là danh sách này cần phải được tạo gần với mạng đích nhất, vì thế mà ta tạo tại 2500A.

3. Thêm danh sách truy cập cho cổng serial 0 của 2500A. 2500A(config)#interface serial 0

2500A(config-if)#ip access-group 10 in

Dòng lệnh trên cập nhật danh sách truy cập 10 vào serial 0 và lọc tất cả các packet đi vào. 4. Kiểm tra để thấy rằng G và H không thể nào ping 172.16.60.2 và 172.16.60.3

5. Nếu danh sách truy cập chính xác, tất cả các thiết bị khác sẽ có thể vào mạng 172.16.60.0. Ping từ 2500C và kiểm tra là có thể thấy 172.16.60.2 và 172.16.60.3

7.2 Kiểm tra lại Danh sách truy cập chuẩn

1. Kết nối đến 2500A và xem danh sách truy cập bằng lệnh show access-list 2500A#show access-list

2. Bạn có thể nhập show ip access-list hoặc show-access-list 10 để lấy thông tin cấu hình danh sách.

2500A#show access-list 10

3. Để xem cổng nào đạng áp dụng danh sách, dùng lệnh show ip interface. 2500A#show access-list 10

4. Lệnh show running-config rất tốt để xem cả danh sách truy cập và cổng được áp dụng danh sách đó.

2500A#show running-config

7.3 Gắn một Danh sách IP truy cập mạng vào một dòng VTY

Bạn sẽ rất khó khăn trong việc dừng một user telnet vào router bởi vì bất kỳ cổng hoạt động nào của router đều như nhau cho việc truy cập VTY. Tuy nhiên, bạn có thể dùng danh sách IP truy cập chuẩn để điều khiển bằng cách đặt danh sách truy cập lên chính các dòng VTY.

1. Tạo một danh sách IP truy cập mà cho phép chỉ một số host có thể telnet vào router.

2. Áp dụng danh sách này vào các dòng VTY với lệnh access-class. Chúng ta sẽ dừng host G và H telnet vào router 2600A.

2600A(config)#access-list 10 deny host 172.16.80.3 2600A(config)#access-list 10 deny host 172.16.90.3 2600A(config)#access-list 10 permit any

1. Kiểm tra rằng G và H có thể telnet vào 2600A.

2. Kết nối vào 2600A và cấm telnet đối với G và H nhưng cho phép các thiết bị khác telnet vào 2600A.

2600A(config)#line vty 0 4

2600A(config-line)#access-class 10 in 2600A(config-line)#^z

2600A#

3. Áp dụng danh sách truy cập trực tiếp vào các dòng VTY và không phải interface. 2600A(config)#line vty 0 4

2600A(config-line)#access-class 10 in 2600A(config-line)#^z

2600A#

4. Kiểm tra rằng G và H không thể telnet vào 2600A. 5. Kiểtm tra rằng 2500C vẫn có thể telnet vào 2600A.

2500C#telnet 172.16.40.1

7.4 Danh sách IP truy cập mạng mở rộng

Chúng ta sẽ xoá danh sách truy cập IP chuẩn trên 2500A và thay bằng một danh sách ngắn gọn hơn. Chúng ta cần G và H sử dụng các dịch vụ trong mạng 172.16.60.0 nhưng ta không cho phép telnet vào switch 1900C.

1. Xoá danh sách truy cập khỏi 2500A 2500A#config t

2500A(config)#no access-list 10

2. Xoá danh sách truy cập khỏi cổng serial 0 của 2500A 2500A(config)#interface serial 0

2500A(config-if)#no ip access-group 10 in

Lưu ý chỉ cần nhập no access-list 10 on để xoá danh sách truy cập nhưng bạn phải nhập toàn bộ lệnh để xoá danh sách khỏi cổng của router.

3. Kiểm tra để thấy G và H đã có thể ping 172.16.60.2 và 3.

4. Tạo danh sách truy cập trong 2500A để cấm telnet vào 172.16.60.0 nhưng vẫn cho G và H ping E.

2500A#config t

2500A(config)#access-list 110 deny tcp host 172.16.80.3 172.16.60.0 0.0.0.255 eq telnet

2500A(config)#access-list 110 deny tcp host 172.16.90.3 172.16.60.0 0.0.0.255 eq telnet

2500A(config)#access-list 110 permit ip any any

Danh sách truy cập này cấm địa chỉ nguồn là 172.16.80.3 và 172.16.90.3 không được kết nối vào mạng 172.16.60.0

5. Cập nhập danh sách này vào serial 0 của 2500A để lọc các gói đi vào. 2500A(config)#interface serial 0

2500A(config-if)#ip access-group 110 in 2500A(config-if)#^z

2500A#

Danh sách tương tự có thể xây dựng trên 2600A và 2500E. Có thể nơi tốt nhất để cấu hình danh sách này là trên 2600A và lọc các gói cố gắng vượt ra Fastethernet 0/0. Điều này cho phép dừng các packet sẽ bị từ chối khi đến 172.16.60.0 nhưng trước khi nó được đưa vào mạng xương sống.

6. Nếu bạn muốn dừng các gói gần với nguồn, tạo danh sách truy cập IP mở rộng trên 2600A. Đầu tiên xoá cấu hình trên 2500A.

2500A#config t

2500A(config)#no access-list 110 7. Xoá danh sách truy cập trên serial 0 của 2500A.

2500A(config)#interface serial 0

2500A(config-if)#no ip access-group 110 in

8. Tạo một danh sách truy cập trên 2600A cầm telnet vào 172.16.60.0 nhưng vẫn cho phép G và H ping E.

2600A#config t

2600A(config)#access-list 110 deny tcp host 172.16.80.3 172.16.60.0 0.0.0.255 eq telnet

2600A(config)#access-list 110 deny tcp host 172.16.90.3 172.16.60.0 0.0.0.255 eq telnet

2600A(config)#access-list 110 permit ip any any

9. Bây giờ áp dụng danh sách này cho cổng fastethernet 0/0 của 2500A để lọc các gói ra khỏi router đến 172.16.60.0

2600A(config)#interface fastethernet0/0 2600A(config-if)#ip access-group 110 out 2600A(config-if)#^z

2600A#

10. Kiểm tra danh sách truy cập bằng cách thử telnet 172.16.60.2 Tất cả các thiết bị khác phải có thể telnet vào 172.16.60.2.

7.5 Kiểm tra lại danh sách truy cập IP mở rộng

Chúng ta dùng các lệnh tương tự như đã làm để kiểm tra danh sách truy cập IP chuẩn. Đến 2600A và kiểm tra danh sách đó. Nên nhớ telnet thực sự là một công cụ tốt để kiểm tra lại mạng của mình.

1. Từ 2600A, gõ show access-list để xem danh sách cấu hình. 2600#show access-list

2. Dùng lệnh show access-list 110 để xem một mình danh sách 110 2600#show access-list 110

3. Xem các danh sách chỉ ở trên router. 2600#show ip access-list

4. Kiểm tra cổng nào được cài đặt một danh sách truy cập bằng show ip interface trên router 2600.

2600#show ip interface

Danh sách truy cập IPX được cấu hình tương tự như các danh sách khác. Bạn dùng lệnh

access-list để tạo cho mình danh sách truy cập của các kiểm tra packet và sau đó áp dụng vào danh sách cho một cổng với lệnh access-group.

Danh sách truy cập IPX chuẩn sử dụng máy nguồn hoặc đích hoặc địa chỉ mạng để lọc. cách cấu hình rất giống với cấu hình cho IP.

Các tham số để cấu hình danh sách truy cập IPX chuẩn là

access-list 800-899 deny/permit source_address destination_address

Ta sẽ cấu hình danh sách truy cập IPX chuẩn trên 2600A để chặn mạng IPX 70 không bị hiển thị đến 2500C và 2500D. Điều này rất ích lợi trong một mạng sản xuất khi bạn không muốn mạng Lan của phòng tài chính bị hiện ra trên mạng.

1. Kết nối đến 2600A và xây dựng một danh sách truy cập IPX cấm mạng IPX 70 vào fastethernet 0/0.

2600A#config t

2600A(config)#access-list 810 deny 70 -1

Danh sách truy cập đơn giản này cấm các packet IPX với nguồn là mạng IPX hoặc 70 với một đích là mạng IPX bất kỳ.

2. Áp dụng danh sách truy cập này cho cổng fastethernet 0/0 với lệnh ipx access-group. 2600A(config)#interface fastethernet 0/0

2600A(config-if)#ipx access-group 110 in 2600A(config-if)#^z

2600A#

Sau một vài giây, 2600A, 2500C và 2500D sẽ không thể thấy một tuyến nào đến IPX 70 trong bảng định tuyến IPX.

Trong các router thực cần phải mất đến 60 giây.

7.7 Kiểm tra lại danh sách truy cập IPX chuẩn

Chúng làm các công việc kiểm tra danh sách truy cập IPX hầu như tương tự với việc kiểm tra cho IP.

1. Kiểm tra lại mạng IPX 70 để biết rằng nó không xuất hiện trong bảng định tuyến của 2600A.

2600A#show ipx route

2. Kiểm tra lại mạng IPX 70 để biết nó không xuất hiện trong bảng định tuyến của 2500D 2500D#show ipx route

3. Kiểm tra lại mạng IPX 70 để biết nó không xuất hiện trong bảng định tuyến của 2500E 2500E#show ipx route

4. Dùng lệnh show access-list để kiểm tra lại danh sách của bạn trên 2600A. 2600A#show access-list

5. Để xem riêng danh sách truy cập IPX, dùng lệnh show ipx access-list

2600A#show ipx access-list

6. Bạn cũng có thể dùng lệnh show access-list 810 2600A#show access-list 810

7. Kiểm tra lại cổng mà danh sách truy cập đang áp dụng trên router 2600A bằng cách dùng lệnh show ipx interface

2600A#show ipx interface

Một phần của tài liệu HƯỚNG DẪN THỰC HÀNH THIẾT KẾ MẠNG POT (Trang 30 -35 )

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×