Ask question

Ask Questions and Get Answers from Our Community

Answer

Answer Questions and Become an Expert on Your Topic

Contact Staff

Our Experts are Ready to Answer your Questions

Follow Us On Social Media

CCNA [Lab 11.1] Cấu hình Access List cho Router

root

root

Well-Known Member
Joined
Dec 31, 2012
Messages
1,153
Reaction score
71
Points
48

Cấu hình Access List cho Router


Lab cấu hình Access List trên Switch hay còn gọi là cấu hình Access Control List (ACL) là một công cụ thường được sử dụng trong các thiết bị Cisco IOS.
Như bài lý thuyết về Access Control list chúng ta đã biết Acess list là một danh sách điều khiển truy nhập. Access list thường được sử dụng cho 2 mục đích chính:
  • Traffic fitering: lọc lưu lượng theo chiều in hoặc của cổng
  • Data classification: Phân loại dữ liệu. Thường sử dụng để chỉ ra đối tượng nào được và không được tham gia vào một hoạt động nào đó. Ví dụ như NAT, VPN...
I. Sơ đồ và yêu cầu Lab cấu hình Access list cho Router
1. Sơ đồ lab
- Sơ đồ lab cấu hình Access List cho Router gồm 3 switch layer 2 và 4 Router. Trong đó Router 3 làm gateway đấu với Router 4 (ISP)

cau hinh access list cho router

2. Yêu Cầu bài lab cấu hình access list cho Router
- Thiết lập sơ đồ
- Cấu hình cơ bản trên các thiết bị
- Đặt IP theo sơ đồ. Mô tả các interface đấu nối
- Trên Switch
  • Sw1 tạo 3 VLAN
    • VLAN 1: 192.168.1.0/24 (F0/1 - F0/7)
    • VLAN 2: 192.168.2.0/24 (F0/8 - F0/15)
    • VLAN 3: 192.168.3.0/24 (F0/16 - F0/23)
  • Sw2 tạo VLAN 4: 192.168.4.0/24 (F0/1 - F0/23)
- R1 chạy định tuyến và cấp IP cho VLAN 1,2,3
- R2 chạy định tuyến và cấp IP cho VLAN 4

- Viết Access List cho Router
  • Cấm PC của VLAN 1 và VLAN 4 liên lạc với nhau
  • Viết thêm vào ACL cấm VLAN 3 liên lạc với VLAN 4
  • VLAN 2 không truy cập được đến Webserver
  • Cấm VLAN telnet đến R2
  • Cấm VLAN 4 ra internet
- tham khảo thêm các bài lab liên quan.
  1. [Lab 11] Cấu hình Access Control List
  2. Lab 12] Lab cấu hình NAT cho Router Cisco
  3. [Lab 13.1] Cấu hình HSRP and Spanning tree root
- Các bài lý thuyết tham khảo:
  1. [Bài 20] Hướng dẫn cấu hình ACL Router Cisco
  2. [Bài 21] Tìm hiểu về Network Address Translation
  3. [Bài 11] Tìm hiểu các giao thức định truyến mạng
Tổng hợp các bài viết lý thuyết và LAB chương trình CCNA của CISCO.
 
Last edited:

II. triển khai lab cấu hình Access list cho Router


- Cấu hình các thông tin cơ bản như IP, VLAN, trunk, định tuyến...
1. Switch Sw1
Code: 
Sw1(config)#vlan 2
Sw1(config-vlan)#name CCNA
Sw1(config-vlan)#vlan 3
Sw1(config-vlan)#name CCNP
Sw1(config-vlan)#exit
Sw1(config)#interface range f0/1-8
Sw1(config-if-range)#switchport mode access
Sw1(config-if-range)#switchport access vlan 1
Sw1(config-if-range)#interface range f0/9-16
Sw1(config-if-range)#switchport mode access
Sw1(config-if-range)#switchport access vlan 2
Sw1(config-if-range)#interface range f0/17-23
Sw1(config-if-range)#switchport mode access
Sw1(config-if-range)#switchport access vlan 3
Sw1(config-if-range)#interface f0/24
Sw1(config-if)#switchport mode trunk
Sw1(config-if)#exit
Sw1(config)#spanning-tree portfast default
R1(config-subif)#exit

2. Router R1
Code: 
R1(config)#interface f0/0
R1(config-if)#ip address 192.168.12.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#interface f0/1
R1(config-if)#no shutdown
R1(config-if)#interface f0/1.1
R1(config-subif)#encapsulation dot1Q 1
R1(config-subif)#ip address 192.168.1.254 255.255.255.0
R1(config-subif)#encapsulation dot1Q 2
R1(config-subif)#ip address 192.168.2.254 255.255.255.0
R1(config-subif)#interface f0/1.3
R1(config-subif)#encapsulation dot1Q 3
R1(config-subif)#ip address 192.168.3.254 255.255.255.0

R1(config)#ip dhcp pool VLAN1
R1(dhcp-config)#network 192.168.1.0 255.255.255.0
R1(dhcp-config)#default-route 192.168.1.254
R1(dhcp-config)#dns-server 8.8.8.8
R1(dhcp-config)#exit
R1(config)#ip dhcp pool VLAN2
R1(dhcp-config)#network 192.168.2.0 255.255.255.0
R1(dhcp-config)#default-route 192.168.2.254
R1(dhcp-config)#dns-server 8.8.8.8
R1(dhcp-config)#exit
R1(config)#ip dhcp pool VLAN3
R1(dhcp-config)#network 192.168.3.0 255.255.255.0
R1(dhcp-config)#default-route 192.168.3.245
R1(dhcp-config)#dns-server 8.8.8.8
R1(dhcp-config)#exit

R1(config)#router ospf 1
R1(config-router)#network 192.168.1.0 0.0.0.255 area 0
R1(config-router)#network 192.168.2.0 0.0.0.255 area 0
R1(config-router)#network 192.168.3.0 0.0.0.255 area 0
R1(config-router)#network 192.168.12.0 0.0.0.255 area 0

3. Switch Sw2
Code: 
Sw2(config)#vlan 4
Sw2(config-vlan)#name CCIE
Sw2(config-vlan)#exit
Sw2(config)#interface range f0/1-23
Sw2(config-if-range)#switchport mode access
Sw2(config-if-range)#switchport access vlan 4
Sw2(config-if-range)#exit
Sw2(config)#interface f0/24
Sw2(config-if)#switchport mode trunk
Sw2(config-if)#exit
Sw2(config)#spanning-tree portfast default

4. Router R2
Code: 
R2(config)#interface f0/0
R2(config-if)#ip address 192.168.12.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#interface s0/0/0
R2(config-if)#ip address 192.168.13.2 255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#interface f0/1
R2(config-if)#no shutdown
R2(config-if)#interface f0/1.1
R2(config-subif)#encapsulation dot1Q 4
R2(config-subif)#ip address 192.168.4.254 255.255.255.0
R2(config-subif)#exit
R2(config)#ip dhcp pool VLAN4
R2(dhcp-config)#network 192.168.4.0 255.255.255.0
R2(dhcp-config)#default-route 192.168.4.254
R2(dhcp-config)#dns-server 8.8.8.8
R2(dhcp-config)#exit

R2(config)#router ospf 2
R2(config-router)#network 192.168.4.0 0.0.0.255 area 0
R2(config-router)#network 192.168.12.0 0.0.0.255 area 0
R2(config-router)#network 192.168.13.0 0.0.0.3 area 0

5. Router R3
Code: 
R3(config)#interface s0/0/0
R3(config-if)#ip address 192.168.13.1 255.255.255.252
Bad mask /30 for address 192.168.13.3
R3(config-if)#no shutdown
R3(config)#interface f0/1
R3(config-if)#ip address dhcp
R3(config-if)#no shutdown
R3(config-if)#interface f0/1
R3(config-if)#no shutdown
R3(config-if)#ip address 192.168.20.254 255.255.255.0

R3(config)#router ospf 3
R3(config-router)#network 192.168.13.0 0.0.0.3 area 0
R3(config-router)#network 192.168.14.0 0.0.0.255 area 0
R3(config-router)#network 192.168.20.0 0.0.0.255 area 0
R3(config-router)#default-information originate

R3(config)#access-list 1 permit any
R3(config)#ip nat inside source list 1 interface f0/0 overload
R3(config)#interface f0/0
R3(config-if)#ip nat outside
R3(config-if)#interface f0/1
R3(config-if)#ip nat inside
R3(config-if)#interface s0/0/0
R3(config-if)#ip nat inside
R3(config-if)#exit

6. Router ISP
Code: 
ISP(config)#interface f0/0
ISP(config-if)#ip address 8.8.8.254 255.255.255.0
ISP(config-if)#no shutdown
ISP(config-if)#interface f0/1
ISP(config-if)#ip address 123.123.123.123 255.255.0.0
ISP(config-if)#no shutdown
ISP(config)#ip dhcp pool ISP
ISP(dhcp-config)#network 123.123.0.0 255.255.0.0
ISP(dhcp-config)#default-router 123.123.123.123
ISP(dhcp-config)#dns-server 8.8.8.8

==> Tới đây đã hoàn thành các bước xây dựng xong một mạng LAN cho phép đi internet. Tiếp theo chúng ta cần viết các chính sách để quản lý hệ thống mạng LAN
 
Last edited:
III. Cấu hình Access list cho Router
1. Access List cho Router cấm VLAN 1 liên lạc VLAN 4
- Cấm Source IP là VLAN 1 : 192.168.1.0/24
- Cấm trên interface:
  • f0/1.1 của R1 thì các pc VLAN 1 sẽ ko ping được các mạng #
  • S0/0/0 của R1 thì VLAN ko ping được các mạng #
  • s0/0/0 của R2 tương tự
  • f0/1 của R2 ko ảnh hưởng vì VLAN 4 sử dụng sub-interface f0/1.1 của R2
  • f0/1.1 của R2 là hợp lý.
==> Nên áp Access list trên cổng gần đích đến nhất

- Hướng dữ liệu sẽ có Source IP là VLAN 1(192.168.1.0/24) đi vào cổng s0/0/0 của R2 và đi ra cổng f0/1.1 của R2
==> Nên Access list sẽ được áp trên interface f0/1.1 theo chiều out

- Cú pháp:
Code: 
Router(config)#access-list 1 deny 192.168.1.0 0.0.0.255
Router(config)#interface f0/1.1
Router(config-if)#ip access-group 1 out
- Kiểm tra ta thấy
  • VLAN 1 không ping được VLAN 4 -> thỏa yêu cầu
  • nhưng VLAN 2 cũng không ping được VLAN 4. Nguyên nhân là do trong Access List của router luôn tồn tại dòng deny all
=> Ta cần thêm dòng "permit any" vào Access List để các VLAN khác vẫn có thể ping được VLAN 4 bình thường
Code: 
Router(config)#access-list 1 permit any

2. Access list cho Router cấm thêm VLAN 3 ping VLAN 4
- Thêm dòng
Code: 
Router(config)#access-list 1 deny 192.168.2.0 0.0.0.255
- Kiểm tra thì thấy VLAN 3 vẫn ping được tới VLAN 4
- Kiểm tra Access list
- Ta thấy lúc ta thêm 1 câu lệnh deny VLAN 3 vào Access List thì Access List sẽ đẩy các lệnh trước của mình đã nhập vào Access List . Lúc này Access List sẽ thực thi từ trên xuống dưới.
  • B1: access list chạy vào dòng đầu tiên là deny VLAN 3.
  • B2: access list chạy tới dòng permit any lúc này access list cho phép mọi VLAN ping đến VLAN 4
=> Lúc này nó sẽ ảnh hưởng dòng dưới cùng của access list tức là "permit any". Nên VLAN 3 vẫn ping được VLAN 4 bình thường.
- Ta thực hiện xóa dòng permit any và thêm vào lại để nó được lên đầu tiên
Code: 
R2(config)#no access-list 1 permit any
Lúc này kiểm tra lại access list thì thấy Access List rỗng.
=> Khi xóa 1 dòng bất kì của Access List standard thì acess list sẽ bị xóa sạch và làm lại từ đầu

3. Access List cho Router cấm VLAN 2 không truy cập web được đến web server
- Lúc này ta không thê dùng Access List dạng Standard mà phải dùng dạng Extend để chặn chi tiết hơn
Code: 
R1(config)#access-list 100 deny tcp 192.168.2.0 0.0.0.255 host 192.168.20.2 eq 80
R1(config)#access-list 100 permit ip any any
R1(config)#interface f0/0
R1(config-if)#ip access-group 100 out

- Áp Access List vào cổng
  • F0/1 của R3: ta thấy traffic từ VLAN 2 đi qua R2 qua đường serial rồi đến s0/0/0 của R3 rồi mới tới f0/1 của R3. Lúc này Access List trên f0/1 mới xử lý chặn
==> Ta thấy mất 1 khoảng traffic chạy trên mạng mà Bandwidth trên serial rất thấp nên không tối ưu
  • tương tự khi đưa Access List vào f0/0 của R2 s0/0/0 của R2 và R3
  • f0/1.2 của R1: lúc này khi ta muốn viết thêm 1 Access List cấm VLAN 1 thì ta lại vào interface f0/1.1 của R1 viết thêm 1 Access List => có nhiều Access List trên 1 Router => giảm hiệu năng của Access List
  • f0/0 của R1 : lúc này ta viết 1 Access List mà có thể cấm VLAN nào mà ta tùy chọn
==> Kiểu Access list Extend có thể cấm bất kỳ cổng nào nhưng nên áp trên cổng nào hiệu quả nhất nên tốt nhất là gần nguồn nhất

4. Access List trên Router cấm VLAN telnet đến R2
- Telnet giữa:
  • Router,Sw <-> Router,Sw ; Router,Sw <-> PC : viết Acl áp vào cổng luận lý (vty)
  • Pc <-> PC : viết Access List áp vào cổng vật lý
- Nên viết Access List trên vty thì nên viết theo kiểu standard vì khi ta viết Access List trên vty bằng kiểu extended thì ta cần có sour.IP và des.IP mà trên Router có nhiều cổng nên có nhiều IP -> liệt kê hết cả cổng trên Router
==> Ta dùng kiểu standard vì chỉ có sourIP

- Đối với vty cảu Router
Code: 
Router(config-line)#[ip] access-class {in | out}
- nếu dùng dạng name-ACL thì có thêm ip

5. Access list cho Router cấm VLAN ra internet
- Khi viết Access List ra internet thì phải viết trên Router biên vì khi ra internet ta không biết des.IP => ta dùng any.

- Không được viết trên cổng ra internet vì trước khi ra internet trên Router sẽ thực hiện NAT lúc này ta xác định sai source.IP
=> Nên ta phải áp Access List trên cổng đi vào

- Deny VLAN ra internet
Code: 
R3(config)#ip access-list extended internet
R3(config-ext-nacl)#deny tcp 192.168.4.0 0.0.0.255 any eq 80
- Lúc này trên bảng định tuyến sẽ bị mất sạch và neighber sẽ không còn trên R3. Hệ thống mạng sẽ bị mất mạng nếu ta không permit any
Code: 
R3(config)#ip access-list extended internet
R3(config-ext-nacl)#deny tcp 192.168.4.0 0.0.0.255 any eq 80
R3(config-ext-nacl)#permit ip any any

 
Last edited:
đã upload lại hình bài lab nhé!
thanks
 
có nhầm ko bạn R1 nối vs sw 3 chứ có phải sw 1 đâu nhỉ cả R2 cũng thế ..
 
có nhầm ko bạn R1 nối vs sw 3 chứ có phải sw 1 đâu nhỉ cả R2 cũng thế ..
mà R3 192.168.14.0 192.168.20.0 ở đâu nhỉ sao ko có trong hình vẽ
 
duyphuong0203 said:
có nhầm ko bạn R1 nối vs sw 3 chứ có phải sw 1 đâu nhỉ cả R2 cũng thế ..
mà R3 192.168.14.0 192.168.20.0 ở đâu nhỉ sao ko có trong hình vẽ
Click to expand...

Đã upload lại hình vẽ và R3 như hình vẽ nhé bạn
 
You must log in or register to reply here.

Follow Us On Social Media

About Us

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt.

Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.

What's new

New posts
New profile posts
Latest activity

Online statistics

Members online
0
Guests online
0
Total visitors
0
Totals may include hidden visitors.
Top