Phần mềm Cisco IOS cung cấp một sự thiết lập mở rộng của những tính năng bảo mật với cái mà bạn có thể cấu hình firewall đơn giản hay phức tạp, tuỳ theo mức độ những yêu cầu. Khi bạn cấu hình những tính năng của Cisco IOS firewall trên Router Cisco, bạn thay đổi router của bạn vào trong một firewall có hiệu quả mạnh mẽ
đó cho phép những người dùng hợp pháp được phép truy nhập tới tài nguyên mạng
5.1 Tạo ra Access list mở rộng và sử dụng số Access list
Để tạo ra một access list mở rộng cái mà chắc chắn không cho phép hoặc cho phép kiểu traffic, hoàn thành những bước sau bắt đầu trong chế độ cấu hình toàn cục.
Lệnh Mục địch
Bước 1 Hq(config)# access-list 102 deny tcp any any
Xác định acces-list 102 và cấu hình access-list để từ chối tất cả các dịch vụ của TCP
Bước 2 Hq(config)# access-list 102 deny udp any any
Cấu hình access-list 102 để từ chối tất cả các dịch vụ UDP
Bước 3 Hq(config)# access-list 102 permit ip any any
Cấu hình access-list 102 để cho phép tất cả dịch vụ IP
5.2 Kiểm tra Access list mở rộng.
Để kiểm tra cấu hình đưa vào lệnh Show access-list 102 trong chế độ EXEC để hiển thị nội dùng của access-list.
hq-sanjose# show access-list 102 Extended IP access list 102 deny tcp any any
deny udp any any permit ip any any
5.3 Áp dụng Access-list tới Interface
Sau khi tạo ra một access-list bạn có thể áp dụng nó vào một hoặc nhiều interface. Access-list có thể được áp dụng đi ra ngoài hoặc đi vào trong interface
Để áp dụng một access-list đi vào hoặc đi ra một interface, hoàn thành những bước sau đây bắt đầu trong chế độ cấu hình toàn cục.
Lệnh Mục đích
Bước 1 Hq-sanjose(config)# interface serial 1/0
Chỉ rõ serial interface 1/0 trên headquarter router và đưa vào chế độ cấu hình interface
Bước 2 Hq-sanjose(config-if)# ip access-group 102 in
Cấu hình access-list 102 đi vào trong serial interface 1/0 trên headquarter router.
Bước 3 Hq-sanjose(config-if)# ip access-group 102 out
Cấu hình access-list 102 đi ra ngoài serial interface 1/0 headquarter router.
Bước 4 Hq-sanjose(config-if)# exit
Hq-sanjose(config)#
Trở lại chế độ cấu hình toàn cục
5.4 Kiểm tra Access-list được áp dụng chính xác
Để kiểm tra cấu hình. Đưa vào lệnh Show ip interface 1/0 trong chế độ EXEC để xác nhận access-list đã được áp dụng chính xác trên interface.
hq-sanjose# show ip interface serial 1/0
Serial1/0 is up, line protocol is up Internet address is 172.17.2.4
Broadcast address is 255.255.255.255 Address determined by setup command Peer address is 172.24.2.5
MTU is 1500 bytes Helper address is not set
Directed broadcast forwarding is disabled Outgoing access list is 102
Inbound access list is 102 -Display text omitted- Kêt luận:
Trong bài viết chúng ta đã cùng nhau lướt qua cách thiết lập một VPN trên phần mềm Cisco IOS. Thật ra đây là một cách thiết lập khá phức tạp và đòi hỏi một kỹ năng thực hành cao, có độ hiểu biết nhất định về cấu hình router để xác đinh được mục đích bài cấu hình.
Phần mềm Cisco IOS rất mạnh và cũng là một phần mềm chẳng đơn giản chút nào. Có rất nhiều option trong chế độ cấu hình toàn cục, nếu bạn biết cách phát huy hay sử dụng nó đúng thì bạn có thể trở thành một người quản trị mạng giỏi
Tốt nhất khi thiết lập bất kỳ cấu hình nào, điều mà bạn nên nhơ đầu tiên là có gắng đơn giản việc thiết lập để chắc chắn rằng những cái chúng ta vừa thiết lập hoạt động chính xác.
Chương 5
CẤU HÌNH VPN TRÊN WINDOWS SERVER 2003
1. Giới thiệu chung
VPN trên Windows 2003 dưới dạng Remote Access sẽ cho phép các máy tính truy nhập đến mạng nội bộ của công ty thông qua Internet. Có thể xây dựng một mô hình đơn giản như sau:
Modem ADSL có địa chỉ IP tĩnh. Trong trường hợp không có địa chỉ IP tĩnh, có thể sử dụng DDNS.
01 máy tính cài hệ điều hành Windows 2003 Server. Máy tính này sử dụng để cấu hình VPN Server. Máy tính này nên sử dụng 02 card mạng. Máy tính từ xa sử dụng Windows XP, Windows 2000, có thể đặt kết nối VPN để kết nối đến Server nói trên
Hình 59