Áp access-list vào cổng

Một phần của tài liệu Bài tập thực hành Quản trị mạng (Trang 47)

II. Nội dung A Mô tả

2. Áp access-list vào cổng

–Áp access-list này vào chiều ra của cổng F0/0 trên R2.

–Khi áp access-list vào một cổng, xem như đang trên router. Vì vậy nếu muốn cấm dữ liệu đi ra khỏi cổng, ta dùng từ khóa out; muốn cấm dữ liệu vào một cổng, ta dùng từ khóa in. –Vì standard access-list chỉ kiểm tra được địa chỉ nguồn nên phải áp access-list vào cổng gần đích nhất.

R2(config)# cổng f0/0

R2(config-if)# ip access-group 1 out

Kiểm tra:

–Dùng extended ping trên R1, lấy địa chỉ nguồn là 200.200.200.1 hoặc 192.168.0.2 lệnh ping sẽ không thành công.

R1#ping

Target IP address: 172.16.0.3 Repeat count [5]:

Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y

Source address or interface: 200.200.200.1 Type of service [0]:

Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]:

Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]:

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.0.3, timeout is 2 seconds:

U.U.U <- không thể tới được (Unreachable)

Success rate is 0 percent (0/5)

–Lệnh ping không thành công do access-list đã hoạt động trên R2, kiểm tra các gói vào trên R2 bằng lệnh debug ip packet. Lưu ý rằng các gói bị loại bỏ bản tin ICMP host unreachable được gởi ngược trở lại R1:

R2#debug ip packet IP packet debugging is on R2# IP: s=200.200.200.1 (Serial0/0), d=172.16.0.3 (FastEthernet0/0), len 100, access denied

IP: s=203.162.0.2 (local), d=200.200.200.1 (Serial0/0), len 56, sending <- gởi bản tin ICMP host unreachable

–Dùng extended ping trên R2 tới PC3, lấy địa chỉ nguồn là 162.16.0.1

R2#ping Protocol [ip]: Target IP address: 172.16.0.3 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y

Source address or interface: 162.16.0.1 Type of service [0]:

Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]:

Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]:

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.0.3, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

Có thể ping PC3 từ PC1 được do access–list chỉ cấm PC2 vào mạng 172.16.0.0/24

C:\Windows\Desktop>ping 172.16.0.3 Pinging 172.16.0.3 with 32 bytes of data:

Reply from 172.16.0.3: bytes=32 time=18ms TTL=126 Reply from 172.16.0.3: bytes=32 time=18ms TTL=126 Reply from 172.16.0.3: bytes=32 time=18ms TTL=126 Reply from 172.16.0.3: bytes=32 time=18ms TTL=126 Ping statistics for 172.16.0.3:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds:

TRƯỜNG ĐẠI HỌC DUY TÂNKHOA CÔNG NGHỆ THÔNG TIN KHOA CÔNG NGHỆ THÔNG TIN

BỘ MÔN KỸ THUẬT MẠNG QUẢN TRỊ MẠNG BÀI THỰC HÀNH QUẢN TRỊ MẠNG BÀI THỰC HÀNH LAB số : 03 Số giờ : 03 giờ GVHD : Võ Nhân Văn LAB 09 NAT STATIC I. Mục tiêu

- Giúp sinh viên hiểu rõ cách thức chuyển đổi địa chỉ IP từ địa chỉ Private thành địa chỉ - Vận dụng cho các loại NAT khác.

II. Nội dungA. Mô tả A. Mô tả

–Cơ chế cho phép chuyển đổi 01 địa chỉ IP thành 01 địa chỉ Global (địa chỉ IP thật .

–RouterA đựơc cấu hình NAT và sẽ tự động chuyển dịch 01 địa chỉ trong mạng (10.1.1.1) thành 195.1.1.4 B. Thực hiện RouterA ! hostname RouterA !

ip nat inside source static 10.1.1.2 195.1.1.4 - Cho phép 01 địa chỉ bên trong được chuyểm dịch ra cùng 01 địa chỉ ngoài !

interface Ethernet0

ip address 10.1.1.1 255.255.255.0

ip nat inside &lt;- Định nghĩa cổng trong !

interface Serial0

ip address 195.1.1.4 255.255.255.0

ip nat outside &lt;- Định nghĩa cổng ngoài ! no ip classless ip route 0.0.0.0 0.0.0.0 Serial0 ! line con 0 line vty 0 4 login ! end RouterB ! hostname RouterB !

enable password cisco ! interface Ethernet0/0 ip address 152.1.1.1 255.255.255.0 ! interface Serial0/0 ip address 195.1.1.10 255.255.255.0 clock rate 500000 ! line con 0 line aux 0 line vty 0 4 password cisco login Kiểm tra

Từ Router A , thực hiện lệnh ping mở rông đến RouterB (195.1.1.3), source từ 10.1.1.2. Kiểm tra chuyển dịch bằng lệnh debug ip nat (địa chỉ này sẽ được chuyển dịch thành 195.1.1.1).

NAT: s=10.1.1.2->195.1.1.1, d=195.1.1.3 [10]

number sau mỗi địa chỉ IP. Số thứ tự các port này là “chìa khóa” để chuyển các gói đúng về địa chỉ IP inside local.

RouterA#show ip nat translations

Pro Inside global Inside local Outside local Outside global icmp 195.1.1.1:2 10.1.1.1:2 195.1.1.3:2 195.1.1.3:2

->Một số lệnh kiểm tra khác

Show ip nat statistics : Hiển thị số phiên đang chuyển dịch và đã chuyển dịch khi thực

hiện NAT.

Show ip nat translations: Các phiên NAT đang diễn ra; Protocol of the packet translated;

inside global address , outside local address, outside global address và inside local address.

Show ip nat translations verbose : giống lệnh trên nhưng chi tiết hơn clear ip nat translation : Xóa tất cả các phiên NAT

clear ip nat statistics : xóa tất cả các counters của thống kê NAT debug ip nat : Xem tiến trình của các phiên NAT

Trưởng bộ môn Giảng viên

Một phần của tài liệu Bài tập thực hành Quản trị mạng (Trang 47)

Tải bản đầy đủ (DOC)

(52 trang)
w