Lab 4-1: Standard Access-List (with file .net) [Archive]

View Full Version : Lab 4-1: Standard Access-List (with file .net)

admin

30-03-2007, 08:14 AM

Nguồn: Sách CCNA Labpro

LAB 4-1: STANDARD ACCESS-LIST

http://img263.imageshack.us/img263/2692/standardacl.jpg
http://usera.imagecave.com/vnpro1/Lab4-1.jpg

Mô tả:
– Access–list dùng để giám sát lưu lượng vào hoặc ra trên một cổng. Các điều kiện so sánh dựa vào access-list được định nghĩa trước, có thể đơn giản (standard access list) hay khá phức tạp (extended access list).
– Lab này mô tả lọc gói dữ liệu sử dụng standard access-list thực hiện cấm tất cả dữ liệu từ PC2 và các PC trong mạng 200.200.200.0/24 đến tất cả Pc trong mạng 172.16.0.254/16

Cấu hình:
Router R2:
!
hostname R2
!
interface Loopback0
ip address 162.16.0.1 255.255.0.0
no ip directed-broadcast
!
interface FastEthernet0/0
ip address 172.16.0.254 255.255.0.0
ip access-group 1 out <- lọc các gói đi ra khỏi cổng F0/0 của router
no ip directed-broadcast
!
interface Serial0/0
ip address 203.162.0.2 255.255.255.0
no ip directed-broadcast
clockrate 64000
!
ip classless
ip route 192.168.0.0 255.255.255.0 203.162.0.1 <- Cấu hình định tuyến tĩnh cho router
ip route 200.200.200.0 255.255.255.0 203.162.0.1
no ip http server
!
access-list 1 deny 192.168.0.2 0.0.0.0 <- Cấm PC2
access-list 1 deny 200.200.200.0 0.0.0.255 <- Cấm tất cả PC trong mạng 200
access-list 1 permit any <- phải có lệnh này vì mặc định cuối access-list sẽ là cấm tất cả (deny)
!
line con 0
transport input none
line aux 0
line vty 0 4
no login <- cho phép router kg cần mật khẩu
!
endRouter R1:
!
hostname R1
!
no ip domain-lookup
!
interface Loopback0
ip address 200.200.200.1 255.255.255.0
!
interface FastEthernet0/0
ip address 192.168.0.254 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
ip address 203.162.0.1 255.255.255.0
no fair-queue
!
ip classless
ip route 162.16.0.0 255.255.0.0 203.162.0.2
ip route 172.16.0.0 255.255.0.0 203.162.0.2
no ip http server
!
line con 0
transport input none
line aux 0
line vty 0 4
no login
!
end
Thuật ngữ liên quan:
- Wilcard mask: wilcard mask bit nào trong địa chỉ IP sẽ được bỏ qua khi so sánh với địa chỉ IP khác. <1> trong wildcard mask có nghĩa bỏ qua vị trí bit đó khi so sánh với địa chỉ IP, và <0> xác định vị trí bit phải giống nhau. Với Standard access-list, nếu không thêm wildcard mask trong câu lệnh tạo access-list thì 0.0.0.0 ngầm hiểu là wildcard mask. Với standard access list, nếu không thêm wilcard mark trong câu lệnh tạo access-list thì 0.0.0.0 ngầm hiểu là wildcard mask.
- Inbound và outbound: Khi áp dụng một access–list trên một cổng, phải xác định access–list phải được dùng cho luồng dữ liệu vào (inbound) hay ra (outbound). Mặc định access–list áp dụng với luồng dữ liệu outbound.
- Chiều của luồng dữ liệu xác định trên cổng của router. Chẳng hạn, lấy ví dụ hình bên dưới: RouterA muốn loại bỏ (deny) tất cả luồng dữ liệu từ host 150.1.1.2 tới PCA (152.1.1.2). Có hai nơi có thể áp dụng access–list trên RouterA: inbound access–list áp dụng trên cổng serial hay outbound access–list áp dụng trên cổng Ethernet. Tốt nhất là áp dụng access–list trên cổng gần nơi luồng dữ liệu sẽ bị loại bỏ.
http://usera.imagecave.com/vnpro1/Lab4-1b.jpg

Thực hiện:
Hai bước để cấu hình access list trên router:
1. Tạo access list tại global config mode:
Tạo access-list trên R2 cấm PC2 và mạng 200.200.200.0/24.
R2(config)# access-list 1 deny 192.168.0.2 0.0.0.0
R2(config)# access-list 1 deny 200.200.200.0 0.0.0.255
R2(config)# access-list 1 permit any
2. Áp access-list vào cổng
–Áp access-list này vào chiều ra của cổng F0/0 trên R2.
–Khi áp access-list vào một cổng, xem như đang trên router. Vì vậy nếu muốn cấm dữ liệu đi ra khỏi cổng, ta dùng từ khóa out; muốn cấm dữ liệu vào một cổng, ta dùng từ khóa in.
–Vì standard access-list chỉ kiểm tra được địa chỉ nguồn nên phải áp access-list vào cổng gần đích nhất.
R2(config)# cổng f0/0
R2(config-if)# ip access-group 1 outKiểm tra:
–Dùng extended ping trên R1, lấy địa chỉ nguồn là 200.200.200.1 hoặc
192.168.0.2 lệnh ping sẽ không thành công.
R1#ping
Protocol [ip]:
Target IP address: 172.16.0.3
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 200.200.200.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.0.3, timeout is 2 seconds:
U.U.U <- không thể tới được (Unreachable)
Success rate is 0 percent (0/5)–Lệnh ping không thành công do access-list đã hoạt động trên R2, kiểm tra các gói vào trên R2 bằng lệnh debug ip packet. Lưu ý rằng các gói bị loại bỏ bản tin ICMP host unreachable được gởi ngược trở lại R1:
R2#debug ip packet
IP packet debugging is on
R2#
IP: s=200.200.200.1 (Serial0/0), d=172.16.0.3 (FastEthernet0/0), len 100,
access denied
IP: s=203.162.0.2 (local), d=200.200.200.1 (Serial0/0), len 56, sending <- gởi bản tin ICMP host unreachable–Dùng extended ping trên R2 tới PC3, lấy địa chỉ nguồn là 162.16.0.1
R2#ping
Protocol [ip]:
Target IP address: 172.16.0.3
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 162.16.0.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.0.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
–Có thể ping PC3 từ PC1 được do access–list chỉ cấm PC2 vào mạng 172.16.0.0/24
C:\Windows\Desktop>ping 172.16.0.3
Pinging 172.16.0.3 with 32 bytes of data:
Reply from 172.16.0.3: bytes=32 time=18ms TTL=126
Reply from 172.16.0.3: bytes=32 time=18ms TTL=126
Reply from 172.16.0.3: bytes=32 time=18ms TTL=126
Reply from 172.16.0.3: bytes=32 time=18ms TTL=126

Ping statistics for 172.16.0.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 18ms, Maximum = 18ms, Average = 18ms

tueminh204

08-05-2007, 12:45 AM

anh Minh cho em hỏi, nếu mà mình mô phỏng bằng file net thì mình lấy PC1,PC2 ở đâu ra mà test. trong file net em ko thấy có cấu hình cho PC

dangquangminh

08-05-2007, 11:58 PM

tueminh204

16-05-2007, 12:55 AM

cảm ơn anh minh nhiều .
cho em hỏi cái này có phải là PA-4T là 4 cổng serial ko? thế còn PA-C7200-IO-FE có nghĩ là gì, chương trình này có thể mô phỏng SWitch được ko ạh

ThanhLoc

14-06-2007, 02:28 PM

Anh Minh men,

Anh cho minh hoi tai sao phai cau hinh them phan interface loopback cho Router

vay?

Truong hop neu nhu khong cau hinh interface loopback thi mang co van de gi

khong?

Cam on anh Minh nhieu!

hkien

28-02-2008, 08:45 AM

nếu như thế thì ngược lại, PC3,4 có thể ping đc PC2 không các anh??

MoCo

29-02-2008, 11:32 PM

PC3,4 không ping đuợc pc2.

VinhNam1904

05-06-2008, 10:11 AM

hi

bạn có thể mô phỏng 1 PC bằng cách dùng router.

Có nghĩa là, một router có địa chỉ IP, tắt quá trình định tuyến IP trong router đó thì nó tương đương IP host.

Ví dụ:

R1# no ip routing
R1# ip default-gateway 10.1.1.1
R1#interface f0/0
#ip address 10.1.1.2 255.255.255.0

Lúc này, R1 giống như một IP host có địa chỉ IP là 10.1.1.2, có default gateway là 10.1.1.1.

Vậy, bạn sửa lại file net trên, thêm phần đặc tả cho một router nữa là xong.

Theo nhu mo hinh trong Labpro thi tu router R1 noi vao 2PC wa cong F0/0 (chi co 1 cong thi lam sao noi dc voi 2 PC do router gia lap lam IP host vay anh Minh)hay la minh fai them 1 cong nua de noi vao PC thu 2 trong file .NET

tranmyphuc

05-06-2008, 01:49 PM

Chào 1!!
Trên hình nơi nối giữa 2 PC với cổng fa của router phải cần thêm 1 thiết bị trung gian như hub hoặc switch. Trong file.net bạn có thể giả lập thêm 1 switch

CHúc bạn vui!!

VinhNam1904

07-06-2008, 12:54 PM

Cho em hoi cai. Gio minh da dat IP giong nhu hinh rui, va cung da config ip route cho cac router nhung chua ap Access-list vo thi tu loopback0 (cua R1) co ping dc cho cac PC: Pc1, Pc2, Pc3, Pc4 ko??? Sao em ping ko dc vay. Mac du tu Loopback(cua R1) thi ping toi loopback(cua R2).
Cac Pc1->Pc4 la cac card loopback cua Real PC.

tranmyphuc

07-06-2008, 02:43 PM

Chào 1!!
Bạn vui lòng cho xem cấu hình của R1 và R2 .

Chúc bạn vui !!!

VinhNam1904

07-06-2008, 11:09 PM

Cau hinh cua R1:

Building configuration...

Current configuration : 1545 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$KtNk$BYV0VgnXvmGO.HXphkol.0
enable password class
!
no aaa new-model
ip cef
!
!
!
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface Loopback0
ip address 200.200.200.1 255.255.255.0
!
interface FastEthernet0/0
ip address 192.168.0.254 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial1/0
ip address 203.162.0.1 255.255.255.0
serial restart-delay 0
!
interface Serial1/1
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/2
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/3
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/4
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/5
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/6
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/7
no ip address
shutdown
serial restart-delay 0
!
ip route 162.16.0.0 255.255.0.0 203.162.0.2
ip route 172.16.0.0 255.255.0.0 203.162.0.2
no ip http server
no ip http secure-server
!
!
!
logging alarm informational
dialer-list 1 protocol ip permit
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
logging synchronous
stopbits 1
line aux 0
stopbits 1
line vty 0 4
password class
login
!
!
end

Cau hinh R2

Building configuration...

Current configuration : 1563 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$mDBL$92EC3Hbae6li2ThizfQCA/
enable password class
!
no aaa new-model
ip cef
!
!
!
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface Loopback0
ip address 162.16.0.1 255.255.0.0
!
interface FastEthernet0/0
ip address 172.16.0.254 255.255.0.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial1/0
ip address 203.162.0.2 255.255.255.0
serial restart-delay 0
clock rate 64000
!
interface Serial1/1
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/2
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/3
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/4
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/5
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/6
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/7
no ip address
shutdown
serial restart-delay 0
!
ip route 192.168.0.0 255.255.255.0 203.162.0.1
ip route 200.200.200.0 255.255.255.0 203.162.0.1
no ip http server
no ip http secure-server
!
!
!
logging alarm informational
dialer-list 1 protocol ip permit
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
gatekeeper
shutdown
!
!
line con 0
logging synchronous
stopbits 1
line aux 0
stopbits 1
line vty 0 4
password class
login
!
!
end

tranmyphuc

08-06-2008, 03:08 AM

CHào !!!

Cho em hoi cai. Gio minh da dat IP giong nhu hinh rui, va cung da config ip route cho cac router nhung chua ap Access-list vo thi tu loopback0 (cua R1) co ping dc cho cac PC: Pc1, Pc2, Pc3, Pc4 ko??? Sao em ping ko dc vay. Mac du tu Loopback(cua R1) thi ping toi loopback(cua R2).
Cac Pc1->Pc4 la cac card loopback cua Real PC.

Theo cấu hình bạn đưa :
+Thì không phải là bạn chưa apply acls mà bạn chưa cấu hình ACls.
+ Từ cổng loopback R1 ping đến được loopback R2 (theo lời của bạn) , vậy từ cổng fa của router này có ping đến router kia được không ?
=> Mình nghĩ bạn nên kiểm tra lại PC có thể bạn chưa đặt gateway cho chúng.

Chúc bạn vui !!!

VinhNam1904

09-06-2008, 11:10 AM

Tu cong fa cua router nay ping den router kia thi ok. Da dat gateway cho PC rui :( . Nhung van ko ping toi cac PC tu cac cong loopback va serial. Theo nhu hinh thi gateway cua PC1 &PC 2 la 192.168.0.254 Con PC3&4 la 172.16.0.254 fai hon??

tele

10-06-2008, 12:34 AM

- cho mình hỏi trong sơ đồ trên có 4 PC thuộc 2 mạng khác nhau nếu giả lập thì phải có 4 card mạng, máy mình chỉ có 2. Có cách nào tạo thêm đc card mang ko?
- trong sơ đồ có switch. Vậy các tạo switch trong file .net như thế nào?

tranmyphuc

10-06-2008, 11:27 AM

Chào !!!
Bãn có thể tạo thêm 2 card adapter nữa. Xem hướng dẫn : http://davedotnet.blogspot.com/2006/06/installing-loopback-adaptor-in-windows.html

Cách tạo switch đơn giản nhất là dùng GNS3.
Tải tại : www.gns3.net
Xem hướng dẫn tại : http://vnpro.org/forum/showthread.php?t=16328

Chúc bạn vui !!!

Chúc bạn vui

diemthuy

01-09-2008, 10:06 AM

Chào thầy, các bạn,

Em có đọc qua bài Standard Access-List có chỗ này em thấy lạ quá:

R2(config)# cổng f0/0
R2(config-if)# ip access-group 1 out

Vì theo hình ban đầu có R1 và R2 và y/c chặn:
Lab này mô tả lọc gói dữ liệu sử dụng standard access-list thực hiện cấm tất cả dữ liệu từ PC2 và các PC trong mạng 200.200.200.0/24 đến tất cả Pc trong mạng 172.16.0.254/16

Nghĩa là chặn luồng từ R1 --> R2. Vậy thì chúng ta apply trên R2 ở chiều IN (Vào) chứ sao là chiều OUT (Ra). Mong thầy giải thích giúp em. Thank-you.

P/S: ý thầy có phải chiều out của int vào Lan??

Bests,

ducnvtk4

03-09-2008, 09:17 PM

Nguồn: Sách CCNA Labpro

LAB 4-1: STANDARD ACCESS-LIST

http://usera.imagecave.com/vnpro1/Lab4-1.jpg

Mô tả:
– Access–list dùng để giám sát lưu lượng vào hoặc ra trên một cổng. Các điều kiện so sánh dựa vào access-list được định nghĩa trước, có thể đơn giản (standard access list) hay khá phức tạp (extended access list).
– Lab này mô tả lọc gói dữ liệu sử dụng standard access-list thực hiện cấm tất cả dữ liệu từ PC2 và các PC trong mạng 200.200.200.0/24 đến tất cả Pc trong mạng 172.16.0.254/16

Cấu hình:
Router R2:
!
hostname R2
!
interface Loopback0
ip address 162.16.0.1 255.255.0.0
no ip directed-broadcast
!
interface FastEthernet0/0
ip address 172.16.0.254 255.255.0.0
ip access-group 1 out <- lọc các gói đi ra khỏi cổng F0/0 của router
no ip directed-broadcast
!

Anh admin xem lại xem chỗ em bôi xanh có đúng không??
Khi mà mình dùng Access-list(Standard) đặt nó ở gần đích tức là trên Interface f0/0 của Router R2
Vậy khi mà đứng trên Router R2 để chặn các access từ PC2 và mạng 200.200.200.0/24 đến mạng 172.16.0.254/16 thì trên Interface f0/0 của Router R2 phải là (ip access-group 1 in)mới là Ok
Nếu em hiểu sai thì anh admin giải thích lại em với nhé
Thanks anh!!!!!!:)

DinhAnhTai

01-10-2008, 03:48 PM

đứng trên R2 mà chặn PC2 ko cho truy cập đến mạng 172.16.0.254/16 theo như mô hình thì phải IN chứ, các pro có nhầm tí ko vậy.

JML

02-03-2009, 10:57 AM

Nếu Apply access-list trên cổng S0 của R2 thì mới là ip access group 1 in . nếu nói sai mong được chỉ giáo :)

beo

22-03-2009, 01:14 AM

Mấy bác cho em hỏi: Sao chẳng thấy cái file .net đâu hết vậy?

hannguyendang

06-11-2010, 03:57 PM

bài này em không thấy ảnh hiển thị nên em đọc khó hiểu quá
các anh upload ảnh lại được ko?
Thank nha

netvn

16-11-2010, 11:05 AM

Nhờ các anh xem giúp sao hinh topo ko nhìn được nhỉ.

phamminhtuan

17-11-2010, 04:52 PM

Chào bạn,

Hình đã được add lại.

Chúc bạn học tốt.