2010年6月19日 星期六

Cisco STANDAR ACCESS LIST

I. STANDAR ACCESS LIST

1. Giới thiệu:

-Một trong những công cụ rất quan trọng trong Cisco Router được dùng trong lĩnh vực security là Access List. Đây là một tính năng giúp bạn có thể cấu hình trực tiếp trên Router để tạo ra một danh sách các địa chỉ mà bạn có thể cho phép hay ngăn cản việc truy cập vào một địa chỉ nào đó.
-Access List có 2 loại là Standard Access List Extended Access List.
-Standard Access List: đậy là loại danh sách truy cập mà khi cho phép hay ngăn cản việc truy cập, Router chỉ kiểm tra một yếu tố duy nhất là địa chỉ nguồn (Source Address)
-Extended Access List: đây là loại danh sách truy cập mở rộng hơn so với loại Stanhdar, các yếu tố về địa chỉ nguồn, địa chỉ đích, giao thức, port.. sẽ được kiểm tra trước khi Router cho phép việc truy nhập hay ngăn cản.

2. Mô tả bài lab và đồ hình :
-Bài Lab này giúp bạn thực hiện việc cấu hình Standard Access List cho Cisco Router với mục đích ngăn không cho host truy cập đến router TTG2


3. Cấu hình router :
Router TTG1
TTG1#show run
Building configuration...
Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname TTG1
!
ip subnet-zero
!
process-max-time 200
!
interface Ethernet0
ip address 11.0.0.1 255.255.255.0
no ip directed-broadcast
!
interface Serial0
ip address 192.168.1.1 255.255.255.0
no ip directed-broadcast
!
interface Serial1
no ip address
no ip directed-broadcast
shutdown
!
ip classless
no ip http server
!
line con 0
transport input none
line 1 8
line aux 0
line vty 0 4
!
end

Router TTG2
TTG2#show run
Building configuration...
Current configuration:
!
version 12.1
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname TTG2
!
ip subnet-zero
!
interface Ethernet0
no ip address
shutdown
!
interface Serial0
ip address 192.168.1.2 255.255.255.0
clockrate 56000
!
interface Serial1
no ip address
shutdown
!
ip classless
no ip http server
!
line con 0
transport input none
line 1 8
line aux 0
line vty 0 4
!
end

Host:
IP Address:11.0.0.2
Subnet mask:255.255.255.0
Gateway:11.0.0.1
-Bạn thực hiện việc định tuyến cho các Router như sau(Dùng giao thức RIP):
TTG1(config)#router rip
TTG1(config-router)#net 192.168.1.0
TTG1(config-router)#net 11.0.0.0

TTG2(config)#router rip
TTG2(config-router)#net 192.168.1.0
TTG2(config-router)#net 10.0.0.0

-Bạn thực hiện kiểm tra quá trình định tuyến:
TTG2#ping 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/34/36 ms

TTG2#ping 11.0.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 11.0.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/34/36 ms

TTG2#ping 11.0.0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 11.0.0.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/34/40 ms

-Sau quá trình định tuyến,kiểm tra chắc chắn rằng mạng đã được thông,bạn thực hiện việc tạo Access List Standar để ngăn không cho Router TTG 2 ping vào Host.
-Vì khi lưu thông,gói tin muốn đến được địa chỉ của Host bắt buột phải đi qua Router
TTG1.
-Bạn thực hiện tạo Access List trên Router TTG1 như sau:

TTG1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
TTG1(config)#access-list 1 deny 11.0.0.2 0.0.0.0
//từ chối sự truy nhập của địa chỉ 11.0.0.2//
-Lúc này bạn thực hiện lệnh Ping từ Host đến TTG2


-Bạn thấy lệnh Ping thực hiện vẫn thành công, lý do là bạn chưa mở chế độ
Access list trên interface ethernet0 của router TTG1
TTG1(config)#int e0
TTG1(config-if)#ip access-group 1 in
//ngăn cản đường vào của serial 0 theo access group 1//
-Sau khi apply access list vào interface ethernet 0, ta ping từ PC1 đến TTG2.


Bây giờ ta đổi địa chỉ của PC thành 11.0.0.3, và thử ping lại 1 lần nữa.


-Bạn thấy lệnh Ping vẫn không thành cộng, lý do là khi không tìm thấy địa chỉ source (địa chỉ lạ) trong danh sách Access list, router sẽ mặc định thực hiện Deny any,vì vậy bạn phải thay đổi mặc định này. Sau đây là lệnh debug ip packet tại TTG1 khi thực hiện lệnh ping trên.


TTG1(config)#access-list 1 permit any
-Lúc này bạn thực hiện lại lệnh Ping từ PC1 đến TTG2


-Bạn thấy lệnh Ping đã thành công, đến đây bạn đã cấu hình xong Standard Access

沒有留言:

張貼留言