root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

Cấu hình Access Control List trên Cisco


ACL - Access Control List: thường được được gọi tắt là Access List rất thường được sử dụng trong các hệ thống Network.
Access Control List là một danh sách gồm nhiều dòng. Khi được sử dụng, Access control list sẽ thực thi từng dòng từ trên xuống dưới. Dòng nào phù hợp với các điều kiện thì Access Control List sẽ thực thi dòng đó và các dòng còn lại sẽ bị bỏ qua. Dòng cuối cùng của Access Control List là "deny". Nghĩa là nếu các dòng trong Access Control List không có dòng nào được thực thi thì nó sẽ thực thi dòng cuối cùng là "deny" tất cả.


I. Sơ đồ và yêu cầu cho bài lab cấu hình Access Control List
1. Sơ đồ
- mô hình triển khai bài lab cấu hình Access Control List trên hệ thống Cisco

cau hinh access control List

2.Yêu cầu
- Thiết lập sơ đồ
- Cấu hình cơ bản trên các thiết bị
- Đặt IP theo sơ đồ. Mô tả các interface đấu nối
- Trên Switch

  • Sw1 tạo 3 VLAN
    • VLAN 1: 192.168.1.0/24 (F0/1 - F0/7)
    • VLAN 2: 192.168.2.0/24 (F0/8 - F0/15)
    • VLAN 3: 192.168.3.0/24 (F0/16 - F0/23)
  • Sw2 tạo VLAN 4: 192.168.4.0/24 (F0/1 - F0/23)
- R1 chạy định tuyến và cấp IP cho VLAN 1,2,3
- R2 chạy định tuyến và cấp IP cho VLAN 4

- Viết Access control list

  • Cấm PC của VLAN 1 và VLAN 2 liên lạc với nhau
  • Trên VLAN 2:
    • Cấm range: 192.168.2.1 --> 192.168.2.127 ping đến VLAN 4
    • Cấm range: 192.168.2.128 trở đi telnet đến PC thuộc VLAN 4
  • Cấm PC thuộc VLAN 4 telnet đến R1
  • Cấm VLAN 1,2,3 đi internet. VLAN đi được internet
  • Trên VLAN 4
    • Cấm Range 192.168.4.1 --> 192.168.4.127 ping ra internet, còn lại cho phép
    • Cấm range 192.168.4.128 trở đi ra internet bằng web, còn lại cho phép
- tham khảo thêm các bài lab liên quan.
  1. [Lab 11.1] Cấu hình Access List cho Router
  2. [Lab 13.1] Cấu hình HSRP and Spanning tree root
  3. [Lab 12] Lab cấu hình NAT cho Router Cisco
- Các bài lý thuyết tham khảo:
  1. [Bài 20] Hướng dẫn cấu hình ACL Router Cisco
  2. [Bài 21] Tìm hiểu về Network Address Translation
  3. [Bài 11] Tìm hiểu các giao thức định truyến mạng
Tổng hợp các bài viết lý thuyết và LAB chương trình CCNA của CISCO.
 
Last edited:

II. triển khai lab cấu hình Access Control List


1. Switch Sw1
Code:
Sw1(config)#vlan 2
Sw1(config-vlan)#vlan 3
Sw1(config-vlan)#interface range f0/1-7
Sw1(config-if-range)#switchport mode access
Sw1(config-if-range)#switchport access vlan 1
Sw1(config-if-range)#interface range f0/8-15
Sw1(config-if-range)#switchport mode access
Sw1(config-if-range)#switchport access vlan 2
Sw1(config-if-range)#interface range f0/16-23
Sw1(config-if-range)#switchport mode access
Sw1(config-if-range)#switchport access vlan 3
Sw1(config-if-range)#interface f0/24
Sw1(config-if)#switchport mode trunk
Sw1(config-if)#exit
Sw1(config)#spanning-tree portfast default

2. Router R1
Code:
Router(config)#hostname R1
R1(config)#interface s0/0/0
R1(config-if)#ip address 192.168.12.1 255.255.255.252
R1(config-if)#no shutdown
R1(config-if)#interface f0/1
R1(config-if)#no shutdown
R1(config-subif)#encapsulation dot1Q 1
R1(config-subif)#ip address 192.168.1.254 255.255.255.0
R1(config-subif)#interface f0/1.2
R1(config-subif)#encapsulation dot1Q 2
R1(config-subif)#ip address 192.168.2.254 255.255.255.0
R1(config-subif)#interface f0/1.3
R1(config-subif)#encapsulation dot1Q 3
R1(config-subif)#ip address 192.168.3.254 255.255.255.0

R1(config)#router ospf 1
R1(config-router)#network 192.168.12.0 0.0.0.3 area 0
R1(config-router)#network 192.168.1.0 0.0.0.255 area 0
R1(config-router)#network 192.168.2.0 0.0.0.255 area 0
R1(config-router)#network 192.168.3.0 0.0.0.255 area 0

R1(config)#ip dhcp pool VLAN1
R1(dhcp-config)#network 192.168.1.0 255.255.255.0
R1(dhcp-config)#default-router 192.168.1.254
R1(dhcp-config)#dns-server 8.8.8.8
R1(dhcp-config)#exit
R1(config)#ip dhcp pool VLAN2
R1(dhcp-config)#network 192.168.2.0 255.255.255.0
R1(dhcp-config)#default-router 192.168.2.254
R1(dhcp-config)#dns-server 8.8.8.8
R1(dhcp-config)#exit
R1(config)#ip dhcp pool VLAN3
R1(dhcp-config)#network 192.168.3.0 255.255.255.0
R1(dhcp-config)#default-router 192.168.3.254
R1(dhcp-config)#dns-server 8.8.8.8

3. Switch Sw2
Code:
Sw2(config)#vlan 4
Sw2(config-vlan)#interface range f0/1-23
Sw2(config-if-range)#switchport mode access
Sw2(config-if-range)#switchport access vlan 4
Sw2(config-if-range)#interface f0/24
Sw2(config-if)#switchport mode trunk
Sw2(config-if)#exit
Sw2(config)#spanning-tree portfast default

4. Router R2
Code:
R2(config)#interface s0/0/0
R2(config-if)#ip address 192.168.12.2 255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#interface f0/0
R2(config-if)#ip address 192.168.23.1 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#interface f0/1.1
R2(config-subif)#encapsulation dot1Q 4
R2(config-subif)#ip address 192.168.4.254 255.255.255.0
R2(config-subif)#interface f0/1
R2(config-if)#no shutdown

R2(config)#router ospf 2
R2(config-router)#network 192.168.12.0 0.0.0.3 area 0
R2(config-router)#network 192.168.4.0 0.0.0.3 area 0
R2(config-router)#network 192.168.23.0 0.0.0.255 area 0

R2(config)#ip dhcp pool VLAN4
R2(dhcp-config)#network 192.168.4.0 255.255.255.0
R2(dhcp-config)#default-router 192.168.4.254
R2(dhcp-config)#dns-server 8.8.8.8

5. Router R3
Code:
R3(config)#interface f0/0
R3(config-if)#ip address 192.168.23.2 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#interface f0/1
R3(config-if)#ip address dhcp
R3(config-if)#no shutdown

R3(config)#router ospf 3
R3(config-router)#network 192.168.23.0 255.255.255.0 area 0
R3(config-router)#default-information originate

R3(config)#access-list 1 permit any
R3(config)#ip nat inside source list 1 interface f0/1 overload
R3(config)#interface f0/1
R3(config-if)#ip nat outside
R3(config-if)#interface f0/0
R3(config-if)#ip nat inside

6. Router ISP
- Cấu hình trên Router ISP

Code:
ISP(config)#interface f0/1
ISP(config-if)#ip address 123.123.123.123 255.255.0.0
ISP(config-if)#no shutdown

ISP(config-if)#interface f0/0
ISP(config-if)#ip address 8.8.8.254 255.0.0.0
ISP(config-if)#no shutdown

ISP(config-if)#exit
ISP(config)#ip dhcp pool ISP
ISP(dhcp-config)#network 123.123.0.0 255.255.0.0
ISP(dhcp-config)#default-router 123.123.123.123
ISP(dhcp-config)#dns-server 8.8.8.8

==> Tới đây đã hoàn thành các bước xây dựng xong một mạng LAN cho phép đi internet. Tiếp theo chúng ta cần viết các chính sách để quản lý hệ thống mạng LAN
 
Last edited:

III. Xây dựng các chính sách bằng Access Control List


1. Cấm VLAN 1 liên lạc VLAN 2
-Ta có thể viết trên f0/1.1 or f0/1.2 ở đây mình sẽ viết trên f0/1.1 dạng "name standard" để dễ sửa ACL
Code:
R1(config)#ip access-list standard vlan1
R1(config-std-nacl)#deny 192.168.2.0 0.0.0.255
R1(config-std-nacl)#permit any
R1(config-std-nacl)#exit
R1(config)#interface f0/1.1
R1(config-subif)#ip access-group vlan1 out
- Kiểm tra Access list trên R1

cau hinh Access Control List(1)

- Dùng PC thuộc VLAN ping kiểm tra xem có liên lạc được với VLAN 1 và VLAN 3 không

cau hinh Access Control List(2)

- Ta thấy VLAN 2 không ping được đến VLAN 1 vì nó đã bị ACL chặn. tuy nhiên, nó vẫn ping được đến VLAN 3 vì ACL permit

2. Cấu hình Access Control List trên VLAN 2


2.1 Cấm range 192.168.2.1 --> 192.168.2.127 ping đến VLAN 4
- Thực hiện viết ACL trên interface f0/1.1 dạng "name-ACL Extended"
Code:
R2(config)#ip access-list extended vlan4
R2(config-ext-nacl)#deny icmp 192.168.2.0 0.0.0.127 192.168.4.0 0.0.0.255
R2(config-ext-nacl)#permit ip any any
R2(config-ext-nacl)#interface f0/1.1
R2(config-subif)#ip access-group vlan4 out

- Dùng PC thuộc VLAN 2 có địa chỉ 192.168.2.1 ping đến mạng VLAN 4 không thành công

cau hinh Access Control List(3)

- Dùng PC thuộc VLAN 2 có địa chỉ 192.168.2.130 ping đến VLAN 4 thì thành công

cau hinh Access Control List(4)

2.2 Cấm range 192.168.2.128 trở đi telnet đến VLAN 4

- Ta sẽ viết thêm vào ACL bên trên 1 dòng "deny" cho các PC thuộc VLAN 2 có địa chỉ từ 192.168.2.128 trở đi không telnet được đến VLAN 4.
Code:
R2(config)#ip access-list extended vlan4
R2(config-ext-nacl)#do sh access-list
R2(config-ext-nacl)#15 deny tcp 192.168.2.128 0.0.0.127 192.168.4.0 0.0.0.255 eq 23

- Kiểm tra ACL ta thấy ACL vlan 4 đã thêm dòng 15 vào

cau hinh Access Control List(5)

- Dùng PC thuộc VLAN 2 có địa chỉ 192.168.2.1 ping đến mạng VLAN 4 không thành công
- Dùng PC thuộc VLAN 2 có địa chỉ 192.168.2.130 ping đến VLAN 4 thì thành công

3. Cấm PC thuộc VLAN 4 telnet đến R1
- Thực hiện viết ACL trên R1 và áp vào cổng vty
Code:
R1(config)#ip access-list standard telnet
R1(config-std-nacl)#deny 192.168.4.0 0.0.0.255
R1(config-std-nacl)#permit any
R1(config-std-nacl)#exit
R1(config)#line vty 0 4
R1(config-line)#access-class telnet in

- Kiểm tra thấy mạng VLAN 4 ko telnet được vào R1 nhưng các mạng khác vẫn telnet được đến R1

4. Cấm VLAN 1,2,3 đi internet. VLAN 4 được đi internet
- Thực hiện viết ACL trên Router biên R3 tại interface f0/0
Code:
R3(config)#ip access-list extended internet
R3(config-ext-nacl)#deny ip 192.168.1.0 0.0.0.255 any
R3(config-ext-nacl)#permit ip any any
R3(config-ext-nacl)#interface f0/0
R3(config-if)#ip access-group internet in


cau hinh Access Control List(6)


5. Cấu hình Access Control List trên VLAN 4


5.1 Cấm range 192.168.4.1 --> 192.168.4.127 ping ra internet, còn lại cho phép
Code:
R3(config)#ip access-list extended internet
R3(config-ext-nacl)#15 deny icmp 192.168.4.0 0.0.0.127 any

5.2 Cấm range 192.168.4.128 trở đi ra internet bằng web, còn lại được phép
Code:
R3(config)#ip access-list extended internet
R3(config-ext-nacl)#16 deny tcp 192.168.4.128 0.0.0.127 any eq 80


cau hinh Access Control List(7)
 
Last edited:
  • Like
Reactions: baogum
hi bạn,

Đã upload lại hình bài lab.
Thanks bạn đã quan tâm đến bài lab!
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu