CCNA [Lab 11.1] Cấu hình Access List cho Router

Discussion in 'Lab' started by root, Feb 25, 2014.

  1. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,186
    Likes Received:
    51
    Trophy Points:
    48

    Cấu hình Access List cho Router


    Lab cấu hình Access List trên Switch hay còn gọi là cấu hình Access Control List (ACL) là một công cụ thường được sử dụng trong các thiết bị Cisco IOS.
    Như bài lý thuyết về Access Control list chúng ta đã biết Acess list là một danh sách điều khiển truy nhập. Access list thường được sử dụng cho 2 mục đích chính:

    • Traffic fitering: lọc lưu lượng theo chiều in hoặc của cổng
    • Data classification: Phân loại dữ liệu. Thường sử dụng để chỉ ra đối tượng nào được và không được tham gia vào một hoạt động nào đó. Ví dụ như NAT, VPN...
    I. Sơ đồ và yêu cầu Lab cấu hình Access list cho Router
    1. Sơ đồ lab
    - Sơ đồ lab cấu hình Access List cho Router gồm 3 switch layer 2 và 4 Router. Trong đó Router 3 làm gateway đấu với Router 4 (ISP)

    cau hinh access list cho router

    2. Yêu Cầu bài lab cấu hình access list cho Router
    - Thiết lập sơ đồ
    - Cấu hình cơ bản trên các thiết bị
    - Đặt IP theo sơ đồ. Mô tả các interface đấu nối
    - Trên Switch

    • Sw1 tạo 3 VLAN
      • VLAN 1: 192.168.1.0/24 (F0/1 - F0/7)
      • VLAN 2: 192.168.2.0/24 (F0/8 - F0/15)
      • VLAN 3: 192.168.3.0/24 (F0/16 - F0/23)
    • Sw2 tạo VLAN 4: 192.168.4.0/24 (F0/1 - F0/23)
    - R1 chạy định tuyến và cấp IP cho VLAN 1,2,3
    - R2 chạy định tuyến và cấp IP cho VLAN 4

    - Viết Access List cho Router

    • Cấm PC của VLAN 1 và VLAN 4 liên lạc với nhau
    • Viết thêm vào ACL cấm VLAN 3 liên lạc với VLAN 4
    • VLAN 2 không truy cập được đến Webserver
    • Cấm VLAN telnet đến R2
    • Cấm VLAN 4 ra internet
    - tham khảo thêm các bài lab liên quan.
    1. [Lab 11] Cấu hình Access Control List
    2. Lab 12] Lab cấu hình NAT cho Router Cisco
    3. [Lab 13.1] Cấu hình HSRP and Spanning tree root
    - Các bài lý thuyết tham khảo:
    1. [Bài 20] Hướng dẫn cấu hình ACL Router Cisco
    2. [Bài 21] Tìm hiểu về Network Address Translation
    3. [Bài 11] Tìm hiểu các giao thức định truyến mạng
    Tổng hợp các bài viết lý thuyết và LAB chương trình CCNA của CISCO.
     
    Last edited: Aug 4, 2016
  2. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,186
    Likes Received:
    51
    Trophy Points:
    48

    II. triển khai lab cấu hình Access list cho Router


    - Cấu hình các thông tin cơ bản như IP, VLAN, trunk, định tuyến...
    1. Switch Sw1

    Code:
    Sw1(config)#vlan 2
    Sw1(config-vlan)#name CCNA
    Sw1(config-vlan)#vlan 3
    Sw1(config-vlan)#name CCNP
    Sw1(config-vlan)#exit
    Sw1(config)#interface range f0/1-8
    Sw1(config-if-range)#switchport mode access
    Sw1(config-if-range)#switchport access vlan 1
    Sw1(config-if-range)#interface range f0/9-16
    Sw1(config-if-range)#switchport mode access
    Sw1(config-if-range)#switchport access vlan 2
    Sw1(config-if-range)#interface range f0/17-23
    Sw1(config-if-range)#switchport mode access
    Sw1(config-if-range)#switchport access vlan 3
    Sw1(config-if-range)#interface f0/24
    Sw1(config-if)#switchport mode trunk
    Sw1(config-if)#exit
    Sw1(config)#spanning-tree portfast default
    R1(config-subif)#exit

    2. Router R1
    Code:
    R1(config)#interface f0/0
    R1(config-if)#ip address 192.168.12.1 255.255.255.0
    R1(config-if)#no shutdown
    R1(config-if)#interface f0/1
    R1(config-if)#no shutdown
    R1(config-if)#interface f0/1.1
    R1(config-subif)#encapsulation dot1Q 1
    R1(config-subif)#ip address 192.168.1.254 255.255.255.0
    R1(config-subif)#encapsulation dot1Q 2
    R1(config-subif)#ip address 192.168.2.254 255.255.255.0
    R1(config-subif)#interface f0/1.3
    R1(config-subif)#encapsulation dot1Q 3
    R1(config-subif)#ip address 192.168.3.254 255.255.255.0
    
    R1(config)#ip dhcp pool VLAN1
    R1(dhcp-config)#network 192.168.1.0 255.255.255.0
    R1(dhcp-config)#default-route 192.168.1.254
    R1(dhcp-config)#dns-server 8.8.8.8
    R1(dhcp-config)#exit
    R1(config)#ip dhcp pool VLAN2
    R1(dhcp-config)#network 192.168.2.0 255.255.255.0
    R1(dhcp-config)#default-route 192.168.2.254
    R1(dhcp-config)#dns-server 8.8.8.8
    R1(dhcp-config)#exit
    R1(config)#ip dhcp pool VLAN3
    R1(dhcp-config)#network 192.168.3.0 255.255.255.0
    R1(dhcp-config)#default-route 192.168.3.245
    R1(dhcp-config)#dns-server 8.8.8.8
    R1(dhcp-config)#exit
    
    R1(config)#router ospf 1
    R1(config-router)#network 192.168.1.0 0.0.0.255 area 0
    R1(config-router)#network 192.168.2.0 0.0.0.255 area 0
    R1(config-router)#network 192.168.3.0 0.0.0.255 area 0
    R1(config-router)#network 192.168.12.0 0.0.0.255 area 0

    3. Switch Sw2
    Code:
    Sw2(config)#vlan 4
    Sw2(config-vlan)#name CCIE
    Sw2(config-vlan)#exit
    Sw2(config)#interface range f0/1-23
    Sw2(config-if-range)#switchport mode access
    Sw2(config-if-range)#switchport access vlan 4
    Sw2(config-if-range)#exit
    Sw2(config)#interface f0/24
    Sw2(config-if)#switchport mode trunk
    Sw2(config-if)#exit
    Sw2(config)#spanning-tree portfast default

    4. Router R2
    Code:
    R2(config)#interface f0/0
    R2(config-if)#ip address 192.168.12.2 255.255.255.0
    R2(config-if)#no shutdown
    R2(config-if)#interface s0/0/0
    R2(config-if)#ip address 192.168.13.2 255.255.255.252
    R2(config-if)#no shutdown
    R2(config-if)#interface f0/1
    R2(config-if)#no shutdown
    R2(config-if)#interface f0/1.1
    R2(config-subif)#encapsulation dot1Q 4
    R2(config-subif)#ip address 192.168.4.254 255.255.255.0
    R2(config-subif)#exit
    R2(config)#ip dhcp pool VLAN4
    R2(dhcp-config)#network 192.168.4.0 255.255.255.0
    R2(dhcp-config)#default-route 192.168.4.254
    R2(dhcp-config)#dns-server 8.8.8.8
    R2(dhcp-config)#exit
    
    R2(config)#router ospf 2
    R2(config-router)#network 192.168.4.0 0.0.0.255 area 0
    R2(config-router)#network 192.168.12.0 0.0.0.255 area 0
    R2(config-router)#network 192.168.13.0 0.0.0.3 area 0

    5. Router R3
    Code:
    R3(config)#interface s0/0/0
    R3(config-if)#ip address 192.168.13.1 255.255.255.252
    Bad mask /30 for address 192.168.13.3
    R3(config-if)#no shutdown
    R3(config)#interface f0/1
    R3(config-if)#ip address dhcp
    R3(config-if)#no shutdown
    R3(config-if)#interface f0/1
    R3(config-if)#no shutdown
    R3(config-if)#ip address 192.168.20.254 255.255.255.0
    
    R3(config)#router ospf 3
    R3(config-router)#network 192.168.13.0 0.0.0.3 area 0
    R3(config-router)#network 192.168.14.0 0.0.0.255 area 0
    R3(config-router)#network 192.168.20.0 0.0.0.255 area 0
    R3(config-router)#default-information originate
    
    R3(config)#access-list 1 permit any
    R3(config)#ip nat inside source list 1 interface f0/0 overload
    R3(config)#interface f0/0
    R3(config-if)#ip nat outside
    R3(config-if)#interface f0/1
    R3(config-if)#ip nat inside
    R3(config-if)#interface s0/0/0
    R3(config-if)#ip nat inside
    R3(config-if)#exit

    6. Router ISP
    Code:
    ISP(config)#interface f0/0
    ISP(config-if)#ip address 8.8.8.254 255.255.255.0
    ISP(config-if)#no shutdown
    ISP(config-if)#interface f0/1
    ISP(config-if)#ip address 123.123.123.123 255.255.0.0
    ISP(config-if)#no shutdown
    ISP(config)#ip dhcp pool ISP
    ISP(dhcp-config)#network 123.123.0.0 255.255.0.0
    ISP(dhcp-config)#default-router 123.123.123.123
    ISP(dhcp-config)#dns-server 8.8.8.8

    ==> Tới đây đã hoàn thành các bước xây dựng xong một mạng LAN cho phép đi internet. Tiếp theo chúng ta cần viết các chính sách để quản lý hệ thống mạng LAN
     
    Last edited: Jul 25, 2016
  3. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,186
    Likes Received:
    51
    Trophy Points:
    48
    III. Cấu hình Access list cho Router
    1. Access List cho Router cấm VLAN 1 liên lạc VLAN 4
    - Cấm Source IP là VLAN 1 : 192.168.1.0/24
    - Cấm trên interface:

    • f0/1.1 của R1 thì các pc VLAN 1 sẽ ko ping được các mạng #
    • S0/0/0 của R1 thì VLAN ko ping được các mạng #
    • s0/0/0 của R2 tương tự
    • f0/1 của R2 ko ảnh hưởng vì VLAN 4 sử dụng sub-interface f0/1.1 của R2
    • f0/1.1 của R2 là hợp lý.
    ==> Nên áp Access list trên cổng gần đích đến nhất

    - Hướng dữ liệu sẽ có Source IP là VLAN 1(192.168.1.0/24) đi vào cổng s0/0/0 của R2 và đi ra cổng f0/1.1 của R2
    ==> Nên Access list sẽ được áp trên interface f0/1.1 theo chiều out

    - Cú pháp:

    Code:
    Router(config)#access-list 1 deny 192.168.1.0 0.0.0.255
    Router(config)#interface f0/1.1
    Router(config-if)#ip access-group 1 out
    - Kiểm tra ta thấy
    • VLAN 1 không ping được VLAN 4 -> thỏa yêu cầu
    • nhưng VLAN 2 cũng không ping được VLAN 4. Nguyên nhân là do trong Access List của router luôn tồn tại dòng deny all
    => Ta cần thêm dòng "permit any" vào Access List để các VLAN khác vẫn có thể ping được VLAN 4 bình thường
    Code:
    Router(config)#access-list 1 permit any

    2. Access list cho Router cấm thêm VLAN 3 ping VLAN 4
    - Thêm dòng

    Code:
    Router(config)#access-list 1 deny 192.168.2.0 0.0.0.255
    - Kiểm tra thì thấy VLAN 3 vẫn ping được tới VLAN 4
    - Kiểm tra Access list
    - Ta thấy lúc ta thêm 1 câu lệnh deny VLAN 3 vào Access List thì Access List sẽ đẩy các lệnh trước của mình đã nhập vào Access List . Lúc này Access List sẽ thực thi từ trên xuống dưới.

    • B1: access list chạy vào dòng đầu tiên là deny VLAN 3.
    • B2: access list chạy tới dòng permit any lúc này access list cho phép mọi VLAN ping đến VLAN 4
    => Lúc này nó sẽ ảnh hưởng dòng dưới cùng của access list tức là "permit any". Nên VLAN 3 vẫn ping được VLAN 4 bình thường.
    - Ta thực hiện xóa dòng permit any và thêm vào lại để nó được lên đầu tiên
    Code:
    R2(config)#no access-list 1 permit any
    Lúc này kiểm tra lại access list thì thấy Access List rỗng.
    => Khi xóa 1 dòng bất kì của Access List standard thì acess list sẽ bị xóa sạch và làm lại từ đầu

    3. Access List cho Router cấm VLAN 2 không truy cập web được đến web server
    - Lúc này ta không thê dùng Access List dạng Standard mà phải dùng dạng Extend để chặn chi tiết hơn

    Code:
    R1(config)#access-list 100 deny tcp 192.168.2.0 0.0.0.255 host 192.168.20.2 eq 80
    R1(config)#access-list 100 permit ip any any
    R1(config)#interface f0/0
    R1(config-if)#ip access-group 100 out

    - Áp Access List vào cổng
    • F0/1 của R3: ta thấy traffic từ VLAN 2 đi qua R2 qua đường serial rồi đến s0/0/0 của R3 rồi mới tới f0/1 của R3. Lúc này Access List trên f0/1 mới xử lý chặn
    ==> Ta thấy mất 1 khoảng traffic chạy trên mạng mà Bandwidth trên serial rất thấp nên không tối ưu
    • tương tự khi đưa Access List vào f0/0 của R2 s0/0/0 của R2 và R3
    • f0/1.2 của R1: lúc này khi ta muốn viết thêm 1 Access List cấm VLAN 1 thì ta lại vào interface f0/1.1 của R1 viết thêm 1 Access List => có nhiều Access List trên 1 Router => giảm hiệu năng của Access List
    • f0/0 của R1 : lúc này ta viết 1 Access List mà có thể cấm VLAN nào mà ta tùy chọn
    ==> Kiểu Access list Extend có thể cấm bất kỳ cổng nào nhưng nên áp trên cổng nào hiệu quả nhất nên tốt nhất là gần nguồn nhất

    4. Access List trên Router cấm VLAN telnet đến R2
    - Telnet giữa:

    • Router,Sw <-> Router,Sw ; Router,Sw <-> PC : viết Acl áp vào cổng luận lý (vty)
    • Pc <-> PC : viết Access List áp vào cổng vật lý
    - Nên viết Access List trên vty thì nên viết theo kiểu standard vì khi ta viết Access List trên vty bằng kiểu extended thì ta cần có sour.IP và des.IP mà trên Router có nhiều cổng nên có nhiều IP -> liệt kê hết cả cổng trên Router
    ==> Ta dùng kiểu standard vì chỉ có sourIP

    - Đối với vty cảu Router

    Code:
    Router(config-line)#[ip] access-class {in | out}
    - nếu dùng dạng name-ACL thì có thêm ip

    5. Access list cho Router cấm VLAN ra internet
    - Khi viết Access List ra internet thì phải viết trên Router biên vì khi ra internet ta không biết des.IP => ta dùng any.

    - Không được viết trên cổng ra internet vì trước khi ra internet trên Router sẽ thực hiện NAT lúc này ta xác định sai source.IP
    => Nên ta phải áp Access List trên cổng đi vào

    - Deny VLAN ra internet

    Code:
    R3(config)#ip access-list extended internet
    R3(config-ext-nacl)#deny tcp 192.168.4.0 0.0.0.255 any eq 80
    - Lúc này trên bảng định tuyến sẽ bị mất sạch và neighber sẽ không còn trên R3. Hệ thống mạng sẽ bị mất mạng nếu ta không permit any
    Code:
    R3(config)#ip access-list extended internet
    R3(config-ext-nacl)#deny tcp 192.168.4.0 0.0.0.255 any eq 80
    R3(config-ext-nacl)#permit ip any any

     
    Last edited: Jul 25, 2016
  4. khoa.ntk01

    khoa.ntk01 New Member

    Joined:
    Jan 4, 2015
    Messages:
    36
    Likes Received:
    0
    Trophy Points:
    0
    root ơi, mất ảnh rồi, up lại ảnh nha root
     
  5. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,186
    Likes Received:
    51
    Trophy Points:
    48
    đã upload lại hình bài lab nhé!
    thanks
     
  6. duyphuong0203

    duyphuong0203 New Member

    Joined:
    Mar 5, 2015
    Messages:
    3
    Likes Received:
    0
    Trophy Points:
    0
    có nhầm ko bạn R1 nối vs sw 3 chứ có phải sw 1 đâu nhỉ cả R2 cũng thế ..
     
  7. duyphuong0203

    duyphuong0203 New Member

    Joined:
    Mar 5, 2015
    Messages:
    3
    Likes Received:
    0
    Trophy Points:
    0
    có nhầm ko bạn R1 nối vs sw 3 chứ có phải sw 1 đâu nhỉ cả R2 cũng thế ..
    mà R3 192.168.14.0 192.168.20.0 ở đâu nhỉ sao ko có trong hình vẽ
     
  8. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,186
    Likes Received:
    51
    Trophy Points:
    48
    Đã upload lại hình vẽ và R3 như hình vẽ nhé bạn
     

Share This Page