CCNA Lab Book version 4
Bài 19: Access Control List Nội dung: - Tạo Access Control List theo các yêu c ầu -
Apply ACL vào các interface Kiểm tra hoạt động của ACL
ế
VDC Training Center
CCNA Lab Book version 4
VDC Training Center
Chú ý: Các thông số interface bên dướ i có thể sẽ khác vớ i lab thực tế. 1. K ết nối hệ thống như hình vẽ 2. Cấu hình các thông số cơ bản cho Router - Hostname - IP address cho các interface - Password console, vty, exec mode - Cấu hình định tuyến OSPF area 0 trên các Router - Cấu hình interface loopback trên R2 - Cấu hình Vlan 1 trên các Switch, gán IP address theo yêu c ầu - Gán các IP address, Subnetmask, Default gateway cho PC, server - Kiểm tra k ết nối giữa các PC, PC vớ i Router, Switch bằng lệnh “ping”, xác nhận Ping thành công. 3. Cấu hình Standard ACL trên R3 a. Cấu hình Standard ACL, thực hiện tươ ng tự như bên dướ i. ACL này cấm traffic từ mạng 192.168.11.0/24 và cho phép những phần còn lại.
b. Gán ACL vào interface n ối giữa R3 vớ i R2, hướ ng “IN”
c. Kiểm tra hoạt động của ACL - Đứng ở Router R1, thực hiện lệnh Ping vớ i lựa chọn “IP source” là 192.168.11.1, ta có k ết quả là “ping” không thành công
ế
CCNA Lab Book version 4
VDC Training Center
Trên R3, thực hiện “show access-list”, ta có k ết quả tươ ng tự như sau, trong đó có chỉ ra số lần bị chặn cho traffic xuất phát từ 192.168.11.0/24 là 5 lần.
-
d. Thực hiện Ping từ R1 vớ i “IP source” là 192.168.10.1, ta có k ết quả ping thành công, do ACL không chặn phần IP này.
ế
CCNA Lab Book version 4
VDC Training Center
4. Cấu hình Extend ACL trên R1, chặn dữ liệu từ 192.168.10.0/24 đến 209.165.200.255, cho phép các phần còn lại. a. Cấu hình ACL Extend
b. Gán ACL vào Interface Serial n ối giữa R1 vớ i R2, hướ ng “OUT”
c. Kiểm tra hoạt động của ACL - Từ PC1, thuộc 192.168.10.0/25, thực hiện ping tớ i Interface loopback của R2, xác nhận k ết quả ping không thành công. Thực hiện ping đến các IP khác, xác nhận k ết quả ping thành công. - Kiểm tra trên R1 bằng lệnh “show access-list”, ta đượ c k ết quả tươ ng tự bên dướ i, trong đó có minh họa số lần chặn dữ liệu khi ping từ PC1 đến 209.165.200.255, là interface loopback của Router R2.
5. Điều khiển truy cậ p Telnet bằng ACL Tạo ACL cho phép một số IP cụ thể có thể telnet tớ i R2 a. Tạo ACL trên R2
ACL này chỉ cho phép các mạng 10.2.2.0/252, 192.168.30.0/24
-
b. Gán ACL vào line vty
c. Kiểm tra k ết quả - Thực hiện telnet tớ i R2 từ R1, ta có k ết qu ả như bên dướ i (chú ý, R1 sẽ lấy IP nguồn là 10.1.1.1 để “đi”. IP này không đượ c phép trong ACL đượ c cấu hình trên Router R2. Do đó, không thể telnet tớ i R2 từ R1).
ế
CCNA Lab Book version 4
VDC Training Center
Thực hiện telnet tớ R2 từ R3, chú ý R3 sẽ lấy IP nguồn là 10.2.2.2, đượ c phép trong ACL tạo trên R2, do đó, sẽ đượ c phép telnet tớ i R2. Ta có k ết quả tươ ng tự bên dướ i:
-
6. Xóa cấu hình startup-config và kh ở i động lại router để k ết thúc bài thực hành 7. Cấu hình Router tham khảo
ế
CCNA Lab Book version 4
ế
VDC Training Center
CCNA Lab Book version 4
VDC Training Center
ế