2010年6月19日 星期六

Cisco EXTENDED ACCESS LIST

EXTENDED ACCESS LIST
1. Giới thiệu :
-Ở bài trước bạn đã thực hiện việc cấu hình Standard Access List, bài Lab này bạn sẽ tiếp tục tìm hiểu sâu hơn về Extended Access List. Đây là mở rộng của Standard Access List, trong quá trình kiểm tra, Router sẽ kiểm tra các yếu tố về địa chỉ nguồn, đích,giao thức và port…

2. Mô tả bài lab và đồ hình :
-Mục đích của bài Lab: Bạn thực hiện cấu hình Extended Access List sao cho Host1 không thể Telnet vào Router TTG 2 nhưng vẫn có thể duyệt web qua Router TTG2
Bạn thực hiện đồ hình như sau:


Bạn thực hiện việc cấu hình cho Router và Host như đồ hình trên:

3. Cấu hình router :
Host1:
IP Address:11.0.0.2
Subnet mask:255.255.255.0
Gateway:11.0.0.1

Host2:
IP Address:10.0.0.2
Subnet mask:255.255.255.0
Gateway:10.0.0.1

Router TTG1:
TTG1#show run
Building configuration...
Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname TTG1
!
ip subnet-zero
!
process-max-time 200
!
interface Ethernet0
ip address 11.0.0.1 255.255.255.0
no ip directed-broadcast
!
interface Serial0
ip address 192.168.1.1 255.255.255.0
no ip directed-broadcast
!
interface Serial1
no ip address
no ip directed-broadcast
shutdown
!
line con 0
transport input none
line 1 8
line aux 0
line vty 0 4
!
end

Router TTG2
Building configuration...
Current configuration:
!
version 12.1
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname TTG2
!
enable secret 5 $1$V7En$XlyfRt14RWv2KPO9goxVt. //mật khẩu secret l à
Router//
!
ip subnet-zero
!
interface Ethernet0
ip address 10.0.0.1 255.255.255.0
!
interface Serial0
ip address 192.168.1.2 255.255.255.0
no fair-queue
clockrate 56000
!
interface Serial1
no ip address
shutdown
!
ip classless
no ip http server
!
line con 0
transport input none
line 1 8
line aux 0
line vty 0 4
password cisco
login
!
end

-Bạn thực hiện việc định tuyến(sử dụng Rip)
TTG1(config)#router rip
TTG1(config-router)#net 11.0.0.0
TTG1(config-router)#net 192.168.1.0

TTG2(config)#router rip
TTG2(config-router)#net 10.0.0.0
TTG2(config-router)#net 192.168.1.0

-Bạn thực hiện lệnh Ping để kiểm tra quá trình định tuyến.Sau khi chắc chắn rằng quá trình định tuyến đã thành công.
-Tại Router TTG2 bạn thực hiện câu lệnh:
TTG2(config)#ip http server //Câu lệnh này dùng để giả một http server trên Router//
-Lúc này Router sẽ đóng vai trò như một Web Server
-Sau khi quá trình định tuyến đã thành công, bạn thực hiện các bước Telnet và duyệt Web từ Host 1 vào Router TTG2.
-Chú ý :để thành công việc Telnet bạn phải Login cho đường line vty và đặt mật khẩu cho đường này (ở đây là Cisco)
Telnet:


Duyệt web


Bạn nhập vào User Name và Password
User name:TTG2
Password:Router
-Các bước trên đã thành công, bạn thực hiện việc cấu hình Access list

TTG2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
TTG2(config)#access-list 101 deny tcp 11.0.0.2 0.0.0.0 192.168.1.2 0.0.0.0 eq telnet
TTG2(config)#int s0
TTG2(config-if)#ip access-group 101 in

-Bạn thực hiện lại việc Telnet như trên,bạn nhận thấy quá trình Telnet không thành công nhưng bước duyệt Web của bạn cũng không thành công.
-Theo yêu cầu bạn chỉ ngăn cấm Telnet nhưng cho phép quá trình duyệt Web
Telnet


Duyệt Web


-Để thành công bước duyệt Web, bạn thực hiện câu lệnh thay đổi việc Deny any mặc định của Access List.
TTG2(config)#access-list 101 permit ip any any
-Bạn chú ý rằng các câu lệnh trong Access List extended không giống như trong Access List Standard vì trong Access List Extended, Router sẽ kiểm tra cả địa chỉ nguồn,đích, giao thức và port..Permit ip any any có nghĩa là cho phép tất cả các địa chỉ nguồn và đích khác(không tìm thấy trong danh sách Access List) chạy trên nền giao thức IP đi qua.
Lúc này bạn thực hiện lại quá trình duyệt web


Bạn nhập vào User Name và Password
User name:TTG2
Password:Router

-Đến đây bạn đã thành công việc cấu hình cho Extended Access List, bạn đã thực hiện được yêu cầu tạo Access List cho Router với mục đích ngăn cấm việc Telnet vào Router và cho phép quá trình duyệt Web vào Router. Bạn cũng có thể mở rộng thêm đồ hình với nhiều Router để thực tập việc cấu hình Access List cho Router với những yêu cầu bảo mật khác nhau.

沒有留言:

張貼留言