root

Well-Known Member

Lab cisco reflexive access list configuration


I. Mô hình Lab cisco reflexive access list configuration
- Mô hình triển khai Lab cisco reflexive access list configuration

cisco reflexive access list configuration (1)

- Yêu cầu:
  • Không cho phép internet truy cập vào R3 khi bên trong (R3) chưa tạo kết nối với Router internet
  • R3 có thể truy cập ra Router Internet và Internet có thể trả kết quả về lại cho R3

II. Triển khai Lab cisco reflexive access list configuration


1. Cấu hình IP và routing
- Cấu hình IP và định tuyến tĩnh trên R1

Code:
R1(config)#interface f0/0
R1(config-if)#ip address 192.168.12.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit

R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2
- Mở port 80 và 443 trên R1
Code:
R1(config)#ip http server
R1(config)#ip http secure-server
- Cấu hình IP trên R2
Code:
R2(config)#interface f0/0
R2(config-if)#ip address 192.168.12.2 255.255.255.0
R2(config-if)#no shutdown

R2(config-if)#interface f0/1
R2(config-if)#ip address 192.168.23.2 255.255.255.0
R2(config-if)#no shutdown
- Cấu hình IP trên R3
Code:
R3(config)#interface f0/0
R3(config-if)#ip addres
R3(config-if)#ip address 192.168.23.3 255.255.255.0
R3(config-if)#no shutdown

R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.23.2
- Mở port 80 và 443 trên R3
Code:
R3(config)#ip http server
R3(config)#ip http secure-server
2. Cấu hình Reflexive Access list
- Tạo Access list OUTBOOUND và thêm Reflexive bằng từ khóa "reflect". Sau đó áp access list này lên interface f0/0. Lúc này các traffic từ trong đi ra ngoài internet sẽ được Reflexive lưu lại thành bảng trạng thái để theo dõi session.

Code:
R2(config)#ip access-list extended OUTBOUND
R2(config-ext-nacl)#permit ip any any reflect EVALUATE
R2(config-ext-nacl)#int f0/0
R2(config-if)#ip access-group OUTBOUND out
- Tạo Access list INBOUND với từ khóa "evaluate" và áp ACL vào interface f0/0 theo chiều in. Ở đây R2 sẽ kiểm tra các traffic xem có thuộc session nào mà nó đã lưu ở trên hay không. Nếu traffic ko có trong bảng trạng thái lập tức sẽ bị Drop.

Code:
R2(config)#ip access-list extended INBOUND
R2(config-ext-nacl)#evaluate EVALUATE
R2(config-ext-nacl)#interface f0/0
R2(config-if)#ip access-group INBOUND in
3. kiểm tra Lab cisco reflexive access list configuration
- Từ Internet khởi tạo kết nối vào bên trong R3. Ta thấy nó bị R2 drop.

cisco reflexive access list configuration (2)


- Từ R3 khởi tạo 1 kết nối ra internet. Ta thấy traffic đi bình thường.

cisco reflexive access list configuration (3)
 
Last edited:
Top