[CCNA Lab Series] – Bài 33: Nâng cao về Extended Access List


A. Mục tiêu của bài lab:

Cấu hình Extended Access List để lọc nhiều loại lưu lượng mạng (traffic) khác nhau như:

– Lọc các traffic gửi từ network này tới network kia.
– Lọc các traffic gửi từ host tới network.
– Lọc các traffic gửi từ network tới host.

B. Chuẩn bị cho bài lab:

1. Xây dựng sơ đồ mạng và cấu hình IP cho các thiết bị như hình sau:

2. Cấu hình RIP cho tất cả các router sử dụng các câu lệnh network thích hợp.

3. Đảm bảo rằng các route trong bảng định tuyến của các router được tạo ra đầy đủ và chính xác với lệnh show ip route.

4. Kiểm tra kết nối giữa các thiết bị bằng lệnh ping.

C. Các bước thực hiện:

 Kiểm soát traffic gửi từ network này tới network kia.

1. Access list đầu tiên ta tạo ra sẽ chỉ cho phép các traffic (sử dụng protocol bất kỳ) từ mạng Administration (gồm PC4 và PC5) gửi tới mạng Corporate HQ (gồm PC1). Để làm điều này ta sẽ sử dụng extended access list như sau:

access-list 100 permit ip 192.168.1.0 0.0.0.127 192.168.3.0 0.0.0.255
access-list 100 permit ip 192.168.2.0 0.0.0.0 any

– Câu lệnh đầu có nghĩa rằng các IP nằm trong dải (192.168.1.0 -> 192.168.1.127) được phép gửi bất kỳ traffic nào tới các IP thuộc mạng 192.168.3.0/24.

– Câu lệnh thứ hai có nghĩa rằng các các IP thuộc mạng 192.168.2.0/24 được phép gửi bất kỳ traffic nào tới bất kỳ mạng nào.

Vì ngầm định, ở dưới cùng access list luôn có một entry mang nghĩa cấm tất cả các traffic vào/ra nên ta cần tới lệnh này để các router1 và router2 có thể trao đổi (dạng broadcast) các thông tin định tuyến (RIP) cho nhau.

2. Vì traffic xuất phát từ Router2 và đi đến Router1 nên ta sẽ cấu hình và gán access list cho cổng S2/0 của Router1 để kiểm tra tất cả các traffic gửi đến cổng này (hướng inbound).

3. Để kiểm tra access list này, thử ping PC1 từ PC2, PC3, PC4 và PC5. Nếu PC2 và PC3 không thể ping tới PC1 nhưng PC4 và PC5 thì có thể thì ta đã access list đã làm việc đúng theo yêu cầu.

Trên PC2

Trên PC4

 Kiểm soát traffic gửi từ host này tới host kia

1. Phần tiếp theo của bài lab này, ta sẽ khóa việc truy cập đến file server (PC5) từ một máy trạm cụ thể (PC2).

Để thực hiện điều này, ta sẽ tạo một access list trên Router2 có tác dụng chặn tất cả các traffic gửi từ PC2 đến PC5. Sau đó gán access list này cho cổng Fa0/0 của Router2.

2. Giờ kết nối tới PC2 và xác nhận rằng ta không thể ping tới PC5 nhưng từ PC3 ta có thể ping tới PC5

Trên PC2

Trên PC3

 Kiểm soát traffic gửi từ network cho host

1. Trước khi bắt đầu cấu hình cho access list mới này, ta cần loại bỏ các access list trên Router1 và Router2 vừa tạo ở trên như sau:

Trên Router1

Trên Router2

2. Ở kịch bản cuối cùng này, ta sẽ chặn tất cả các traffic gửi đến PC1 từ vùng Network Users như trong sơ đồ mạng ở trên. Để làm điều này, ta sẽ viết một extended access list như sau:

access-list 102 deny ip 192.168.1.128 0.0.0.127 host 192.168.3.2
access-list 102 permit ip any any

Rồi gán access list 102 này cho cổng S2/0 của Router2 với hướng outbound.

Để kiểm tra access list có làm việc đúng chưa, thử ping PC1 từ PC2 hoặc PC2, nếu ping thất bại thì chúc mừng, ta đã hoàn thành xong bài lab 33 này.

–Hết.

Like this on Facebook

13 comments

  1. ay hông có trình độ thì đừng có viết mấy cái access list này nha nhóc
    đồ ếch ngồi đáy giếng thấy mà ghét
    tại sao lại có những con người ngu ma cứ tưởng mình thông minh thế nhỉ
    trong mô hình doanh nghiệp không ai lai có cái mô hình mạng vớ vẩn như thế này đâu

    1. Vậy xem ra là bạn có trình độ ?
      Bạn nói thử tôi nghe xem trình độ bạn tới đâu mà đi nhận xét bài người ta như vậy. Còn có ai nói đây là mô hình mạng trong doanh nghiệp không ? Cái này là bài lab mà, tôi chấp bạn đi học ở các trung trung lớn về Cisco cũng chỉ dạy bạn tới mức lab như vậy là cùng.
      Học được bao nhiêu chữ về công nghệ Cisco rồi mà bày đặt nói người khác. Tự nhìn lại mình đi nha chưa gì hết tôi thất bạn là người Vô Văn Hóa rồi, khỏi nói tới kiến thức.

  2. rất có ích cho đàn em!thanks chủ thớt! anh cho e hỏi luôn nếu tự cày hết 37 bài lap và học quyển ccna thì có cần đi học các trung tâm nữa không a?

    1. Với nội dung kiến thức + yêu cầu thực hành của khóa học CCNA thì theo mình với một số sự chuẩn bị sau thì bạn hoàn toàn có thể tự học ở nhà được mà không cần tới các trung tâm:

      – sách lý thuyết + lab.
      – máy tính mạnh để cài các chương trình giả lập như Packet Tracer, Virtual Machine (VMware, VirtualBox), GNS3.
      – tinh thần (bền bỉ) và thái độ (nghiêm túc) khi tự học.

  3. Mình đang học CCNA,thấy web của bạn rất là hay,thanks for sharing!!!
    Mà bạn cho mình hỏi sao bộ series lab CCNA này thiếu bài 20,21,22,23,24,25,26,27,33 vậy?
    Bạn làm ơn up cho bọn mình tham khảo và học tập được ko?
    Thanks & Chúc bạn sức khỏe!

    1. Chào bạn,

      So với trong ebook Stand Alone Labs for CCNA, các bài còn thiếu trong series này của mình là:
      – 17 (Testing with Traceroute)
      – 21 (ISDN)
      – 22 (IPX)
      – 23 (Introducing Switch)
      – 25, 26, 27 (Configuring Frame Relay)

      Các bài còn thiếu là vì mình chưa kịp viết hoặc đề cập tới công nghệ cũ. Mình đã chưa nói rõ lý do này trong bài Giới thiệu.
      https://manthang.wordpress.com/2011/03/29/ccna-lab-series-gi%E1%BB%9Bi-thi%E1%BB%87u/

      Thời gian tới mình chưa có ý định hoàn thiện nốt series này. Bạn có thể tự thực hành theo tài liệu gốc tiếng Anh.
      Đây là file PDF tổng hợp các bài viết trong series đăng trên blog này.
      https://manthang.wordpress.com/2012/03/01/ebook-ccna-lab-series/

      Thân.

      1. anh ơi cho giúp em bài này được không tới cái ping pc3 em làm nó không nhận được

  4. Bạn cho mình hỏi cách đấu nối các loại dây trong Packet Tracer và muốn thêm các cổng thì thêm ở đâu?
    Thanks

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s