Mô hình:
R1(192.168.12.1)-----(192.168.12.2)R2(192.168.23.2)-------(192.168.23.3)R3
(Tất cả subnetmask là /24 nhé)
Yêu cầu :
-R1 có thể telnet đến R2, R2 có thể telnet đến R3, cấm R1 telnet đến R3
-Nhưng khi R1 telnet đến R2, thì ko thể tiếp tục telnet đến R3.
Các bạn cùng thảo luận nhé !!!

Đây là tất cả các loại access-list có thể cấu hình trên Cisco IOS.



Standard ACLs
Extended ACLs
Dynamic (lock and key) ACLs
IP-named ACLs
Reflexive ACLs
Time-based ACLs that use time ranges
Commented IP ACL entries
Context-based ACLs
Authentication proxy
Turbo ACLs
Distributed time-based ACLs

Các bạn tham khảo thử xem có cái nào đáp ứng được yêu cầu của luancb không?

Mình gợi ý là chỉ dùng 2 loại này (Standard ACLs và Extended ACLs) là có thể đáp ứng đề bài !!!

Mình làm thử bài này thì thấy 1 vấn là khi mình telnet trực tiếp từ R2 vào R3 và telnet qua R2 rồi mới telnet đến R3 thì cả 2 phiên telnet này đều có chung địa chỉ ip ( địa chỉ của R2 nối trực tiếp với R3) mà acl thì làm việc với địa chỉ ip và port nên mình không nghĩ ra cách gì để có thể dùng acl lọc 2 phiên telnet này >"<! Mong bạn cho lời giải :D ^_^, cám ơn nhiều :D! Bạn giải thích luôn nhé :p, bài tập rất hay!

R1(f0/0:192.168.12.1)-----(192.168.12.2:f0/0)R2(f1/0:192.168.23.2)-------(192.168.23.3:f1/0)R3
Mình xin đưa ra cấu hình để đáp ứng yêu cầu 1 trước. cấm R1 telnet đến R3, cho R2 telnet R3:

R2 config:

interface FastEthernet0/0
ip address 192.168.12.2 255.255.255.0
ip access-group luan1 in
!
!
!
ip access-list extended luan1
deny tcp host 192.168.12.1 host 192.168.23.3 eq telnet
permit ip any any
Vậy khi R1 telnet đến R2, nó sẽ có thể telnet tiếp đến R3, chúng ta cần ngăn chặn vấn đề này, chỉ với 2 câu lệnh nữa, các bạn thảo luận tiếp nhé !!!

Bạn ơi post nốt đáp án đi ^_^!

Nếu mình đưa đáp án ra liền thì sẽ mất tính hấp dẫn của vấn đề rồi, mình sẽ cố gắng chờ thêm vài ngày nữa, mong bạn chờ xem nhé !!!

Mình xin giải đáp yêu cầu :

-Nhưng khi R1 telnet đến R2, thì ko thể tiếp tục telnet đến R3.
Tạo Standard ACLs deny host 192.168.23.3

access-list 1 deny 192.168.23.3
access-list 1 permit any
Gán vào cổng telnet, chứ không phải cổng exits (f0/1) của router2, mấu chốt vấn đề là chỗ này:

line vty 0 4
access-class 1 out
Như vậy, đến đây, ta có thể đáp ứng yêu cầu, từ R1 telnet đến R2, lúc này, giao diện cấu hình R1 là R2, và nó không thể tiếp tục telnet đến R3, nhưng, trên R2 thật sự vẫn có thể telnet đến R3 !!!

Cấu hình cuối cùng :

interface FastEthernet0/0
ip address 192.168.12.2 255.255.255.0
ip access-group luan1 in
duplex half
!
--More--
!
interface FastEthernet1/0
ip address 192.168.23.2 255.255.255.0
duplex half
!
ip classless
no ip http server
no ip http secure-server
!
!
!
ip access-list extended luan1
deny tcp host 192.168.12.1 host 192.168.23.3 eq telnet
permit ip any any
access-list 1 deny 192.168.23.3
access-list 1 permit any
!
!
!
gatekeeper
--More--
shutdown
!
!
line con 0
logging synchronous
stopbits 1
line aux 0
stopbits 1
line vty 0 4
access-class 1 out
password 123
login

Bác luancb ơi ! Em thử làm trên Packet tracer như trên mà con R1 vẫn telnet đến được con R3 ? Thế là làm sao ? Em nghĩ đối với cổng vty thì chiều IN là có ý nghĩa còn chiều OUT là không ? Bác có thể giải thích rõ hơn cho em được không ?

Hi!
Khi apply ACLs lên một interface vật lý hay virtual lines ta đều phải chú ý đến chiều của traffic ta cần xét mà từ đó có động thái apply IN, OUT tương ứng. Chứ nói như bạn là sai căn bản rồi đó! :D
Bạn post cấu hình lên để mọi người rễ troubleshooting hơn! :)

Khuyến cáo bạn nên làm trong Dynagen, vì Dynagen sử dụng IOS thật, còn Packet chạy ko chính xác lắm.

Có lẽ là phải dùng Dynagen thôi ! Chứ em dùng Packet thì cấu hình đủ kiểu mà không đúng :)

Đúng vậy, bạn nên sử dụng Dynagen, sẽ chính xác hơn nhiều .

Packet tracer ớ ẩn lắm, dùng lab khác đi :)