Đang tải... (xem toàn văn)
Bài thực hành Access Control List - ACL
THỰC HÀNH Access Control List - ACL1. Mục đích: làm quen với ACLs (Access Control List) và công dụng của nó.2. Lý thuyết cơ bản: Access-list là một danh sách gồm các dòng hướng dẫn có thứ tự để cung cấp hay ngăn chặn luồng gói dữ liệu di chuyển trên mạng. Access-list có công dụng ngăn chận các cuộc tấn công từ ngoài vào, cách ly lưu lượng giữa các đơn vị trong công ty, phân bố tải. Trong một ACL có thể có nhiều câu lệnh, những câu lệnh có cùng số thì nằm trong cùng một danh sách ACL.a. Standard Access-list: (ACL cơ bản) chỉ kiểm tra địa chỉ đích, có cú pháp:access-list [#] [permit | deny] [source-address | keyword any] [source mask][#]: từ 1 – 99Trong source mask, bit 0 có nghĩa là “trùng hợp chính xác” và bit 1 có nghĩa là “không cần xét”.Áp đặt access-list vào một giao tiếp trên Router bằng lệnh:ip access-group [access-list-number] [in | out]• Chọn một host đặc biệt: tất cả các bit trong mặt nạ đều là zero (mặc định).• Chọn toàn bộ mạng con: M=A-B, với M là mặt nạ đại diện (wildcard mask), A=255.255.255.255, B là mặt nạ mạng con (subnet mask). Ví dụ: 255.255.255.255-255.255.255.0=0.0.0.255• Chọn một dãy IP: lấy địa chỉ IP lớn trừ đi địa chỉ IP nhỏ hơn. Ví dụ: lấy dãy 110.30.91.255 cho đến 110.30.28.0 -> 110.30.91.255 – 110.30.28.0 = 0.0.63.255.• Chọn tất cả: anyb. Extanded Access-list: (ACL mở rộng) kiểm tra địa chỉ nguồn, địa chỉ đích của gói dữ liệu, kiểm tra cả giao thức và số port. Ví dụ một ACL mở rộng có thể cho phép lưu lượng của email từ cổng Fa0/0 ra cổng S0/0 và từ chối lưu lượng của web và ftp. Số ACL của ACL mở rộng từ 100-199.Ví dụ: access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq telnetaccess-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq ftpÁp đặt access-list vào giao tiếp trên Router tương tự như ACL cơ bản.3. Thông tin liên quana. Thông tin kết nối cho topo mạng thực hành ACL Thiết bị Model Tuỳ chọn Cổng trên thiết bị Nối đến (thiết bị, cổng)Router 1 Router-PT F0/0F1/0S2/0S3/0Router 2, F0/0Router 3, F0/0Router 4, S2/0Router 5, S2/0Router 2 Router-PT F0/0 Router 1, F0/0Router 3 Router-PT F0/0 Router 1, F1/0Router 4 Router-PT F0/0S2/0SW 1, F0/1Router 1, S2/0Router 5 Router-PT F0/0S2/0S3/0 SW 2, F0/1Router 1, S3/0Cloud1 (Frame Relay), S0Router 6 Router-PT F0/0S2/0PC2, E0Cloud1 (Frame Relay), S1SW1 Switch-PT F0/1E1/1Router 4, F0/0PC1, E0SW2 Switch-PT Fast Ethernet 0/1 Router 5, E0PC1 PC-PT E0 SW1, E1/1PC2 PC-PT E0 Router 6, F0/0b. Thiết kế mô hình mạng và lưu với tên là ACL.pkt1 c. Thông số cấu hình địa chỉ IP và cho phép giao thức RIPGiao tiếp /RIP Router 1 Router 2 Router 4FastEthernet 0/0 42.35.2.1255.255.255.24042.35.2.2255.255.255.240Serial 2/0 42.35.2.17255.255.255.24042.35.2.18255.255.255.240RIP Cho phép trên cả hai giao tiếp Fa0/0 và S2/0Cho phép trên Fa0/0 Cho phép trên S2/04. Thực hànha. Cấu hình địa chỉ IP cho các giao tiếp trên Router• Bước 1: Đăng nhập vào Router 1, đổi tên thành Router1. Gán địa chỉ IP 42.35.2.1 255.255.255.240 cho giao tiếp Fa 0/0. Gán địa chỉ IP 42.35.2.17 255.255.255.240 cho giao tiếp Serial 2/0.• Bước 2:Đăng nhập vào Router 2, đổi tên thành Router2. Gán địa chỉ IP 42.35.2.2 255.255.255.240 cho giao tiếp Fa 0/0. • Bước 3: từ Router2 thực hiện ping giao tiếp Fa 0/0 của Router1 để kiểm tra kết nối.• Bước 4: Đăng nhập vào Router 4, đổi tên thành Router4. Gán địa chỉ IP 42.35.2.18 255.255.255.240 cho giao tiếp Serial 2/0. Từ Router4 thực hiện ping giao tiếp Serial 0 trên Router1 (42.35.2.17) để kiểm tra.b. Định tuyến RIP cho mạng• Bước 5: thực hiện truyền thông giữa Router2 và Router4 bằng cách dùng RIP làm giao thức định tuyến. Cho phép RIP trên Router1 và khai báo mạng cho F 0/0 và S 2/0.• Bước 6: cho phép RIP trên Router2 và khai báo mạng cho giao tiếp F 0/0.• Bước 7: cho phép RIP trên Router4 và khai báo mạng cho giao tiếp Serial 2/0. • Bước 8: Phải đảm bảo có thể ping được đến giao tiếp Ethernet trên Router2 (42.35.2.2). Nếu không được phải kiểm tra lại các bước đã thực hiện.c. Tạo danh sách truy nhập• Bước 9: tạo danh sách truy nhập chuẩn (Standard ACL) có thể chặn Router4 ping đến Router2. Tạo một access-list chỉ chặn địa chỉ IP 42.35.2.18 kèm theo lệnh access-list 1 permit any. • Bước 10: đặt access-list vừa tạo vào giao tiếp FastEthernet 0/0. Chú ý phân biệt giữa hai tuỳ chọn “In” và “Out”. Trong trường hợp này câu lệnh cần thực hiện là “IP access-group 1 in”.d. Kiểm định lại các Standard Access List2 • Bước 11: tại Router4, thử ping đến giao tiếp FastEthernet 0/0 của Router2 (42.35.2.2). Nếu thấy “U.U.U” nghĩa là không thể vươn tới (U: Unreachable), ACL hoạt động tốt.• Bước 12: đăng nhập vào Router2 để kiểm định các access-list chạy trên các giao tiếp, hiển thị cấu hình hoạt động• Xem các access-list nào được đặt vào giao tiếp nào• Xem các access-list được tạo ra trên router:e. Tạo các Access-List mở rộng ( Extended Access List)- Chỉ cho phép telnet từ mạng con nối đến serial 2/0 của Router1 đi vào Router1.- Cho phép mọi thứ từ mạng con trên Fa 0/0 của Router1 đi đến bất cứ nơi nào.• Bước 13: huỷ access-list đã tạo trên giao tiếp Fa 0/0 của Router2 bằng lệnh “no ip access-group 1”• Bước 14: chuyển đến Router1• Bước 15: chỉ cho phép telnet từ mạng con 42.35.2.16 bằng lệnh access-list 101 permit TCP 42.35.2.16 0.0.0.15 any eq telnet.• Bước 16: cho phép bất cứ thứ gì từ mạng con 42.35.2.0Router1(config)#access-list 102 permit ip 42.35.2.0 0.0.0.15 any• Bước 17: cần đặt access-list 101 vào giao tiếp cho phù hợp (cổng Serial 2/0)Router1(config)#interface serial 2/0Router1(config-if)#ip access-group 101 inRouter1(config-if)#exit• Bước 18: cần đặt access-list 102 vào giao tiếp cho phù hợp (cổng FastEthernet 0/0)Router1(config)#interface fa0/0Router1(config-if)#ip access-group 102 inRouter1(config-if)#exit• Bước 19: vào Router4, ping thử đến giao tiếp Serial 2/0 (42.35.2.17) trên Router1, nếu không thể ping đến giao tiếp này thì access-list đã hoạt động tốt.• Bước 20: kiểm tra khả năng telnet bằng cách vào Router1, cho phép telnet và cài mật khẩu là Camry• Bước 21: quay trở lại Router4 và thử telnet vào Router1• Bước 22: đăng nhập Router2 o ping thử đến giao tiếp Serial 2/0 của Router4 (42.35.2.18) ?o ping đến giao tiếp Ethernet 0/0 của Router1 (42.35.2.1) ?• Bước 23: vào Router1 và thực hiện các lệnh “show running-config”, “show ip interfaces” và “show access-lists”. Ghi nhận kết quả.3 . THỰC HÀNH Access Control List - ACL1 . Mục đích: làm quen với ACLs (Access Control List) và công dụng của nó.2. Lý thuyết cơ bản: Access- list là. cùng một danh sách ACL. a. Standard Access- list: (ACL cơ bản) chỉ kiểm tra địa chỉ đích, có cú pháp :access- list [#] [permit | deny] [source-address | keyword
