Access list tại sao phân loại
Well-Known Member
Lab cấu hình Access List trên Switch hay còn gọi là cấu hình Access Control List (ACL) là một công cụ thường được sử dụng trong các thiết bị Cisco IOS. Như bài lý thuyết về Access Control list chúng ta đã biết Acess list là một danh sách điều khiển truy nhập. Access list thường được sử dụng cho 2 mục đích chính:
I. Sơ đồ và yêu cầu Lab cấu hình Access list cho Router
1. Sơ đồ lab - Sơ đồ lab cấu hình Access List cho Router gồm 3 switch layer 2 và 4 Router. Trong đó Router 3 làm gateway đấu với Router 4 (ISP)
- R1 chạy định tuyến và cấp IP cho VLAN 1,2,3 - Viết Access List cho Router
- tham khảo thêm các bài lab liên quan.
- Các bài lý thuyết tham khảo:
Tổng hợp các bài viết lý thuyết và LAB chương trình CCNA của CISCO.
Last edited: Aug 4, 2016 rootWell-Known Member
Code:
2. Router R1 Code:
3. Switch Sw2 Code:
4. Router R2 Code:
5. Router R3 Code:
6. Router ISP Code:
==> Tới đây đã hoàn thành các bước xây dựng xong một mạng LAN cho phép đi internet. Tiếp theo chúng ta cần viết các chính sách để quản lý hệ thống mạng LAN Last edited: Jul 25, 2016 rootWell-Known Member
III. Cấu hình Access list cho Router ==> Nên áp Access list trên cổng gần đích đến nhất - Cú pháp: Code: - Kiểm tra ta thấy
=> Ta cần thêm dòng "permit any" vào Access List để các VLAN khác vẫn có thể ping được VLAN 4 bình thường Code:
2. Access list cho Router cấm thêm VLAN 3 ping VLAN 4 Code:
- Kiểm tra thì thấy VLAN 3 vẫn ping được tới VLAN 4
=> Lúc này nó sẽ ảnh hưởng dòng dưới cùng của access list tức là "permit any". Nên VLAN 3 vẫn ping được VLAN 4 bình thường. - Ta thực hiện xóa dòng permit any và thêm vào lại để nó được lên đầu tiên Code:
Lúc này kiểm tra lại access list thì thấy Access List rỗng. 3. Access List cho Router cấm VLAN 2 không truy cập web được đến web server Code:
- Áp Access List vào cổng
==> Ta thấy mất 1 khoảng traffic chạy trên mạng mà Bandwidth trên serial rất thấp nên không tối ưu
==> Kiểu Access list Extend có thể cấm bất kỳ cổng nào nhưng nên áp trên cổng nào hiệu quả nhất nên tốt nhất là gần nguồn nhất 4. Access List trên Router cấm VLAN telnet đến R2
- Nên viết Access List trên vty thì nên viết theo kiểu standard vì khi ta viết Access
List trên vty bằng kiểu extended thì ta cần có sour.IP và des.IP mà trên Router có nhiều cổng nên có nhiều IP -> liệt kê hết cả cổng trên Router - Đối với vty cảu Router Code:
- nếu dùng dạng name-ACL thì có thêm ip 5. Access list cho Router cấm VLAN ra internet - Không được viết trên cổng ra internet vì trước khi ra internet trên Router sẽ thực hiện NAT lúc này ta xác định sai source.IP - Deny VLAN ra internet Code:
- Lúc này trên bảng định tuyến sẽ bị mất sạch và neighber sẽ không còn trên R3. Hệ thống mạng sẽ bị mất mạng nếu ta không permit any Code:
Last edited: Jul 25, 2016
root ơi, mất ảnh rồi, up lại ảnh nha root
rootWell-Known Member
đã upload lại hình bài lab nhé!
có nhầm ko bạn R1 nối vs sw 3 chứ có phải sw 1 đâu nhỉ cả R2 cũng thế ..
có nhầm ko bạn R1 nối vs sw 3 chứ có phải sw 1 đâu nhỉ cả R2 cũng thế .. rootWell-Known Member
có nhầm ko bạn R1 nối vs sw 3 chứ có phải sw 1 đâu nhỉ cả R2 cũng thế .. Đã upload lại hình vẽ và R3 như hình vẽ nhé bạn |