[CCNA Lab Series] – Bài 32: Named Access Control List


A. Mục tiêu của bài lab:
Tạo một ACL được đặt tên (thay vì được nhận dạng bởi con số như trong các bài lab trước) để cấm tất cả các gói ping từ PC tới Router1 nhưng cho phép truy cập từ Router4 tới Router1. Ta sẽ cấu hình các ACL này trên Router1

B. Chuẩn bị cho bài lab:
Xây dựng mô hình kết nối giữa PC và các router và cấu hình IP cho các thiết đó như hình dưới đây:

C. Các bước thực hiện:

1.
Cấu hình giao thức định tuyến RIP trên cả 2 router sử dụng các lệnh network thích hợp (xem lại lab 13)

2. Chạy lệnh show ip route để đảm bảo các tuyến đường trong bảng định tuyến của các router là đầy đủ và chính xác. Sau đó kiểm tra kết nối giữa các thiết bị bằng lệnh ping.

Trên Router1

Trên Router4

3. Giờ ta sẽ ngăn chặn tất cả các lưu lượng ping xuất phát từ PC và được gửi cho Router1. Access list này có thể nằm trên Router4 hoặc Router1.

Thường thì ta sẽ có access list được đặt trên router mà nằm gần nguồn (gửi gói tin) nhất có thể vì điều này giúp loại bỏ nguy cơ các lưu lượng không cần thiết di chuyển trong mạng. Nhưng ở ví dụ này, ta sẽ đặt access list trên Router1 với hướng inbound như sau:

Theo hình trên thì:

– Câu lệnh đầu tiên chĩ rõ kiểu của access list là extended.

– Dòng lệnh thứ hai có tác dụng từ chối bất kỳ gói ICMP nào được gửi từ host có IP là 192.168.1.1 và đích đến là host có IP là 192.168.1.1.

Để ý rằng ta đã dùng tham số lệnh host cho phần đầu (source address) của access list và dùng wildcard 0.0.0.0 cho phần hai (destination address) của access list.

Cả host và wildcard ở đây đều có tác dụng giống nhau là xác định địa chỉ IP của một host cụ thể (chứ không phải một tập các IP).

– Lệnh thứ ba cho biết rằng tất cả các lưu lượng khác đều không bị chặn bởi access list.

4. Kế tiếp ta sẽ gán access list vừa tạo ở trên cho cổng S2/0 của Router1 và access list này sẽ dành cho hướng inbound.

5. Giờ kết nối tới PC và thử ping tới cổng S2/0 của Router1 như sau

Ta thấy, PC có IP là 192.168.1.18 không thể ping tới IP 192.168.1.1, Như vậy, access list của ta đã làm việc đúng theo yêu cầu.

Xác nhận rằng từ Router4 có thể ping thành công tới Router1 như sau

–Hết.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s