root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

Lab access-list established keyword cisco


I. Mô hình Lab access-list established keyword cisco
- Đấu nối thiết bị theo mô hình Lab access-list established keyword cisco

access-list established keyword cisco (1)


II. Triển khai Lab access-list established keyword cisco


1. Cấu hình IP và routing
- Cấu hình IP và định tuyến tĩnh trên R1

Code:
R1(config)#interface f0/0
R1(config-if)#ip address 192.168.12.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2
- Cấu hình IP trên R2

Code:
R2(config)#interface f0/0
R2(config-if)#ip address 192.168.12.2 255.255.255.0
R2(config-if)#no shutdown

R2(config-if)#interface f0/1
R2(config-if)#ip address 192.168.23.2 255.255.255.0
R2(config-if)#no shutdown
- Cấu hình IP trên R3

Code:
R3(config)#interface f0/0
R3(config-if)#ip addres
R3(config-if)#ip address 192.168.23.3 255.255.255.0
R3(config-if)#no shutdown
R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.23.2
- Mở port 80 và 443 trên R3

Code:
R3(config)#ip http server
R3(config)#ip http secure-server

- Trên R1 thực hiện telnet vào R3 với port 22,80 và 443 để kiểm tra thì thấy kết nối được.

access-list established keyword cisco (2)

2. Cấu hình Keyworld Established
- Trên R2 cấu hình ACL vào áp vào interface f0/0 theo chiều IN
Code:
R2(config)#access-list 100 permit tcp any 192.168.23.0 0.0.0.255 eq 443 established
R2(config)#access-list 100 permit tcp any 192.168.23.0 0.0.0.255 eq 22 established
R2(config)#access-list 100 deny ip any any
R2(config)#interface f0/0
R2(config-if)#ip access-group 100 in
- Trên R1 thực hiện telnet đến R3 với port 22,80 và 443.
  • ở đây bạn không thể telnet vào port 443 và 22 vì nó sử dụng giao thức UDP mà Established không chặn được UDP(nó chỉ có tác dụng với TCP). Nên ACL đầu(permit …eq 443, 22) không hiệu quả. Lúc này nó sẽ chạy xuống ACL “deny ip any any” . Nên kết quả là bạn telnet đến R3 với port 22 và 443 là không được.
  • Ngược lại thì port 80 chạy giao thức TCP nên lúc này ACL “permit …eq 80” áp phê nên bạn có thể telnet đến R3 với port 80.
access-list established keyword cisco (3)
 
Last edited:
hi bạn,

Đã upload lại hình ảnh bài lab

Thanks bạn nhiều!
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu