CCNA [Lab 11] Cấu hình Access Control List

Discussion in 'Lab' started by root, Feb 25, 2014.

  1. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,186
    Likes Received:
    44
    Trophy Points:
    48

    Cấu hình Access Control List trên Cisco


    ACL - Access Control List: thường được được gọi tắt là Access List rất thường được sử dụng trong các hệ thống Network.
    Access Control List là một danh sách gồm nhiều dòng. Khi được sử dụng, Access control list sẽ thực thi từng dòng từ trên xuống dưới. Dòng nào phù hợp với các điều kiện thì Access Control List sẽ thực thi dòng đó và các dòng còn lại sẽ bị bỏ qua. Dòng cuối cùng của Access Control List là "deny". Nghĩa là nếu các dòng trong Access Control List không có dòng nào được thực thi thì nó sẽ thực thi dòng cuối cùng là "deny" tất cả.


    I. Sơ đồ và yêu cầu cho bài lab cấu hình Access Control List
    1. Sơ đồ
    - mô hình triển khai bài lab cấu hình Access Control List trên hệ thống Cisco

    cau hinh access control List

    2.Yêu cầu
    - Thiết lập sơ đồ
    - Cấu hình cơ bản trên các thiết bị
    - Đặt IP theo sơ đồ. Mô tả các interface đấu nối
    - Trên Switch

    • Sw1 tạo 3 VLAN
      • VLAN 1: 192.168.1.0/24 (F0/1 - F0/7)
      • VLAN 2: 192.168.2.0/24 (F0/8 - F0/15)
      • VLAN 3: 192.168.3.0/24 (F0/16 - F0/23)
    • Sw2 tạo VLAN 4: 192.168.4.0/24 (F0/1 - F0/23)
    - R1 chạy định tuyến và cấp IP cho VLAN 1,2,3
    - R2 chạy định tuyến và cấp IP cho VLAN 4

    - Viết Access control list

    • Cấm PC của VLAN 1 và VLAN 2 liên lạc với nhau
    • Trên VLAN 2:
      • Cấm range: 192.168.2.1 --> 192.168.2.127 ping đến VLAN 4
      • Cấm range: 192.168.2.128 trở đi telnet đến PC thuộc VLAN 4
    • Cấm PC thuộc VLAN 4 telnet đến R1
    • Cấm VLAN 1,2,3 đi internet. VLAN đi được internet
    • Trên VLAN 4
      • Cấm Range 192.168.4.1 --> 192.168.4.127 ping ra internet, còn lại cho phép
      • Cấm range 192.168.4.128 trở đi ra internet bằng web, còn lại cho phép
    - tham khảo thêm các bài lab liên quan.
    1. [Lab 11.1] Cấu hình Access List cho Router
    2. [Lab 13.1] Cấu hình HSRP and Spanning tree root
    3. [Lab 12] Lab cấu hình NAT cho Router Cisco
    - Các bài lý thuyết tham khảo:
    1. [Bài 20] Hướng dẫn cấu hình ACL Router Cisco
    2. [Bài 21] Tìm hiểu về Network Address Translation
    3. [Bài 11] Tìm hiểu các giao thức định truyến mạng
    Tổng hợp các bài viết lý thuyết và LAB chương trình CCNA của CISCO.
     
    Last edited: Aug 4, 2016
  2. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,186
    Likes Received:
    44
    Trophy Points:
    48

    II. triển khai lab cấu hình Access Control List


    1. Switch Sw1
    Code:
    Sw1(config)#vlan 2
    Sw1(config-vlan)#vlan 3
    Sw1(config-vlan)#interface range f0/1-7
    Sw1(config-if-range)#switchport mode access
    Sw1(config-if-range)#switchport access vlan 1
    Sw1(config-if-range)#interface range f0/8-15
    Sw1(config-if-range)#switchport mode access
    Sw1(config-if-range)#switchport access vlan 2
    Sw1(config-if-range)#interface range f0/16-23
    Sw1(config-if-range)#switchport mode access
    Sw1(config-if-range)#switchport access vlan 3
    Sw1(config-if-range)#interface f0/24
    Sw1(config-if)#switchport mode trunk
    Sw1(config-if)#exit
    Sw1(config)#spanning-tree portfast default
    2. Router R1
    Code:
    Router(config)#hostname R1
    R1(config)#interface s0/0/0
    R1(config-if)#ip address 192.168.12.1 255.255.255.252
    R1(config-if)#no shutdown
    R1(config-if)#interface f0/1
    R1(config-if)#no shutdown
    R1(config-subif)#encapsulation dot1Q 1
    R1(config-subif)#ip address 192.168.1.254 255.255.255.0
    R1(config-subif)#interface f0/1.2
    R1(config-subif)#encapsulation dot1Q 2
    R1(config-subif)#ip address 192.168.2.254 255.255.255.0
    R1(config-subif)#interface f0/1.3
    R1(config-subif)#encapsulation dot1Q 3
    R1(config-subif)#ip address 192.168.3.254 255.255.255.0
    
    R1(config)#router ospf 1
    R1(config-router)#network 192.168.12.0 0.0.0.3 area 0
    R1(config-router)#network 192.168.1.0 0.0.0.255 area 0
    R1(config-router)#network 192.168.2.0 0.0.0.255 area 0
    R1(config-router)#network 192.168.3.0 0.0.0.255 area 0
    
    R1(config)#ip dhcp pool VLAN1
    R1(dhcp-config)#network 192.168.1.0 255.255.255.0
    R1(dhcp-config)#default-router 192.168.1.254
    R1(dhcp-config)#dns-server 8.8.8.8
    R1(dhcp-config)#exit
    R1(config)#ip dhcp pool VLAN2
    R1(dhcp-config)#network 192.168.2.0 255.255.255.0
    R1(dhcp-config)#default-router 192.168.2.254
    R1(dhcp-config)#dns-server 8.8.8.8
    R1(dhcp-config)#exit
    R1(config)#ip dhcp pool VLAN3
    R1(dhcp-config)#network 192.168.3.0 255.255.255.0
    R1(dhcp-config)#default-router 192.168.3.254
    R1(dhcp-config)#dns-server 8.8.8.8
    3. Switch Sw2
    Code:
    Sw2(config)#vlan 4
    Sw2(config-vlan)#interface range f0/1-23
    Sw2(config-if-range)#switchport mode access
    Sw2(config-if-range)#switchport access vlan 4
    Sw2(config-if-range)#interface f0/24
    Sw2(config-if)#switchport mode trunk
    Sw2(config-if)#exit
    Sw2(config)#spanning-tree portfast default
    4. Router R2
    Code:
    R2(config)#interface s0/0/0
    R2(config-if)#ip address 192.168.12.2 255.255.255.252
    R2(config-if)#no shutdown
    R2(config-if)#interface f0/0
    R2(config-if)#ip address 192.168.23.1 255.255.255.0
    R2(config-if)#no shutdown
    R2(config-if)#interface f0/1.1
    R2(config-subif)#encapsulation dot1Q 4
    R2(config-subif)#ip address 192.168.4.254 255.255.255.0
    R2(config-subif)#interface f0/1
    R2(config-if)#no shutdown
    
    R2(config)#router ospf 2
    R2(config-router)#network 192.168.12.0 0.0.0.3 area 0
    R2(config-router)#network 192.168.4.0 0.0.0.3 area 0
    R2(config-router)#network 192.168.23.0 0.0.0.255 area 0
    
    R2(config)#ip dhcp pool VLAN4
    R2(dhcp-config)#network 192.168.4.0 255.255.255.0
    R2(dhcp-config)#default-router 192.168.4.254
    R2(dhcp-config)#dns-server 8.8.8.8
    5. Router R3
    Code:
    R3(config)#interface f0/0
    R3(config-if)#ip address 192.168.23.2 255.255.255.0
    R3(config-if)#no shutdown
    R3(config-if)#interface f0/1
    R3(config-if)#ip address dhcp
    R3(config-if)#no shutdown
    
    R3(config)#router ospf 3
    R3(config-router)#network 192.168.23.0 255.255.255.0 area 0
    R3(config-router)#default-information originate
    
    R3(config)#access-list 1 permit any
    R3(config)#ip nat inside source list 1 interface f0/1 overload
    R3(config)#interface f0/1
    R3(config-if)#ip nat outside
    R3(config-if)#interface f0/0
    R3(config-if)#ip nat inside
    6. Router ISP
    - Cấu hình trên Router ISP

    Code:
    ISP(config)#interface f0/1
    ISP(config-if)#ip address 123.123.123.123 255.255.0.0
    ISP(config-if)#no shutdown
    
    ISP(config-if)#interface f0/0
    ISP(config-if)#ip address 8.8.8.254 255.0.0.0
    ISP(config-if)#no shutdown
    
    ISP(config-if)#exit
    ISP(config)#ip dhcp pool ISP
    ISP(dhcp-config)#network 123.123.0.0 255.255.0.0
    ISP(dhcp-config)#default-router 123.123.123.123
    ISP(dhcp-config)#dns-server 8.8.8.8
    ==> Tới đây đã hoàn thành các bước xây dựng xong một mạng LAN cho phép đi internet. Tiếp theo chúng ta cần viết các chính sách để quản lý hệ thống mạng LAN
     
    Last edited: Jul 25, 2016
  3. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,186
    Likes Received:
    44
    Trophy Points:
    48

    III. Xây dựng các chính sách bằng Access Control List


    1. Cấm VLAN 1 liên lạc VLAN 2
    -Ta có thể viết trên f0/1.1 or f0/1.2 ở đây mình sẽ viết trên f0/1.1 dạng "name standard" để dễ sửa ACL
    Code:
    R1(config)#ip access-list standard vlan1
    R1(config-std-nacl)#deny 192.168.2.0 0.0.0.255
    R1(config-std-nacl)#permit any
    R1(config-std-nacl)#exit
    R1(config)#interface f0/1.1
    R1(config-subif)#ip access-group vlan1 out
    - Kiểm tra Access list trên R1

    cau hinh Access Control List(1)

    - Dùng PC thuộc VLAN ping kiểm tra xem có liên lạc được với VLAN 1 và VLAN 3 không

    cau hinh Access Control List(2)

    - Ta thấy VLAN 2 không ping được đến VLAN 1 vì nó đã bị ACL chặn. tuy nhiên, nó vẫn ping được đến VLAN 3 vì ACL permit

    2. Cấu hình Access Control List trên VLAN 2


    2.1 Cấm range 192.168.2.1 --> 192.168.2.127 ping đến VLAN 4
    - Thực hiện viết ACL trên interface f0/1.1 dạng "name-ACL Extended"
    Code:
    R2(config)#ip access-list extended vlan4
    R2(config-ext-nacl)#deny icmp 192.168.2.0 0.0.0.127 192.168.4.0 0.0.0.255
    R2(config-ext-nacl)#permit ip any any
    R2(config-ext-nacl)#interface f0/1.1
    R2(config-subif)#ip access-group vlan4 out
    - Dùng PC thuộc VLAN 2 có địa chỉ 192.168.2.1 ping đến mạng VLAN 4 không thành công

    cau hinh Access Control List(3)

    - Dùng PC thuộc VLAN 2 có địa chỉ 192.168.2.130 ping đến VLAN 4 thì thành công

    cau hinh Access Control List(4)

    2.2 Cấm range 192.168.2.128 trở đi telnet đến VLAN 4

    - Ta sẽ viết thêm vào ACL bên trên 1 dòng "deny" cho các PC thuộc VLAN 2 có địa chỉ từ 192.168.2.128 trở đi không telnet được đến VLAN 4.
    Code:
    R2(config)#ip access-list extended vlan4
    R2(config-ext-nacl)#do sh access-list
    R2(config-ext-nacl)#15 deny tcp 192.168.2.128 0.0.0.127 192.168.4.0 0.0.0.255 eq 23
    - Kiểm tra ACL ta thấy ACL vlan 4 đã thêm dòng 15 vào

    cau hinh Access Control List(5)

    - Dùng PC thuộc VLAN 2 có địa chỉ 192.168.2.1 ping đến mạng VLAN 4 không thành công
    - Dùng PC thuộc VLAN 2 có địa chỉ 192.168.2.130 ping đến VLAN 4 thì thành công

    3. Cấm PC thuộc VLAN 4 telnet đến R1
    - Thực hiện viết ACL trên R1 và áp vào cổng vty
    Code:
    R1(config)#ip access-list standard telnet
    R1(config-std-nacl)#deny 192.168.4.0 0.0.0.255
    R1(config-std-nacl)#permit any
    R1(config-std-nacl)#exit
    R1(config)#line vty 0 4
    R1(config-line)#access-class telnet in
    - Kiểm tra thấy mạng VLAN 4 ko telnet được vào R1 nhưng các mạng khác vẫn telnet được đến R1

    4. Cấm VLAN 1,2,3 đi internet. VLAN 4 được đi internet
    - Thực hiện viết ACL trên Router biên R3 tại interface f0/0
    Code:
    R3(config)#ip access-list extended internet
    R3(config-ext-nacl)#deny ip 192.168.1.0 0.0.0.255 any
    R3(config-ext-nacl)#permit ip any any
    R3(config-ext-nacl)#interface f0/0
    R3(config-if)#ip access-group internet in

    cau hinh Access Control List(6)


    5. Cấu hình Access Control List trên VLAN 4


    5.1 Cấm range 192.168.4.1 --> 192.168.4.127 ping ra internet, còn lại cho phép
    Code:
    R3(config)#ip access-list extended internet
    R3(config-ext-nacl)#15 deny icmp 192.168.4.0 0.0.0.127 any
    5.2 Cấm range 192.168.4.128 trở đi ra internet bằng web, còn lại được phép
    Code:
    R3(config)#ip access-list extended internet
    R3(config-ext-nacl)#16 deny tcp 192.168.4.128 0.0.0.127 any eq 80

    cau hinh Access Control List(7)
     
    Last edited: Jul 25, 2016
    baogum likes this.
  4. khoa.ntk01

    khoa.ntk01 New Member

    Joined:
    Jan 4, 2015
    Messages:
    36
    Likes Received:
    0
    Trophy Points:
    0
    root ơi,,,mất ảnh luôn rồi, up lại ảnh nha root
     
  5. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,186
    Likes Received:
    44
    Trophy Points:
    48
    hi bạn,

    Đã upload lại hình bài lab.
    Thanks bạn đã quan tâm đến bài lab!
     
  6. baogum

    baogum New Member

    Joined:
    Aug 1, 2018
    Messages:
    1
    Likes Received:
    0
    Trophy Points:
    1
    Gender:
    Male
    Location:
    HA NOI
    cảm ơn bạn.
     

Share This Page