Named Access Control Lists A. Mục tiêu của bài lab:
Tạo một ACL được gán tên (thay vì được nhận dạng bởi con sốnhư trong các bài lab trước) để cấm tất cả các gói ping từ PC tới Router1 nhưng cho phép truy cập từ Router4 tới Router1. Ta sẽ cấu hình các ACL này trên Router1
B. Chuẩn bị cho bài lab:
Xây dựng mơ hình kết nối giữa PC và các router và cấu hình IP cho các thiết đó như hình dưới đây:
C. Các bước thực hiện:
1. Cấu hình giao thức định tuyến RIP trên cả 2 router sử dụng các lệnh network thích
hợp (xem lại lab 13)
2. Chạy lệnh show ip route đểđảm bảo các tuyến đường trong bảng định tuyến của các router là đầy đủvà chính xác. Sau đó kiểm tra kết nối giữa các thiết bị bằng lệnh ping.
Trên Router1
Trên Router4
3. Giờ ta sẽngăn chặn tất cảcác lưu lượng ping xuất phát từPC và được gửi cho Router1. Access list này có thể nằm trên Router4 hoặc Router1. Thường thì ta sẽ có
access list được đặt trên router mà nằm gần nguồn (gửi gói tin) nhất có thể vì điều này giúp loại bỏnguy cơ các lưu lượng không cần thiết di chuyển trong mạng. Nhưng ở ví dụ này, ta sẽđặt access list trên Router1 với hướng inbound như sau:
Theo hình trên thì:
- Câu lệnh đầu tiên chĩ rõ kiểu của access list là extended.
- Dòng lệnh thứ hai có tác dụng từ chối bất kỳgói ICMP nào được gửi từ host có IP là 192.168.1.1 và đích đến là host có IP là 192.168.1.1. Để ý rằng ta đã dùng tham số
lệnh host cho phần đầu (source address) của access list và dùng wildcard 0.0.0.0 cho phần hai (destination address) của access list. Cả host và wildcard ởđây đều có tác dụng giống nhau là xác định địa chỉ IP của một host cụ thể (chứ không phải một tập các IP).
- Lệnh thứ ba cho biết rằng tất cảcác lưu lượng khác đều không bị chặn bởi access list.
4. Kế tiếp ta sẽ gán access list vừa tạo ở trên cho cổng S2/0 của Router1 và access list này sẽdành cho hướng inbound.
Ta thấy, PC có IP là 192.168.1.18 không thể ping tới IP 192.168.1.1, Như vậy, access list của ta đã làm việc đúng theo yêu cầu.