Lab 20: Access Control List - part 1

I. Sơ đồ và yêu cầu1. Sơ đồ

2. Yêu Cầu:- Thiết lập sơ đồ- Cấu hình cơ bản trên các thiết bị- Đặt IP theo sơ đồ. Mô tả các interface đấu nối- Trên Switch

Sw1 tạo 3 VLAN VLAN 1: 192.168.1.0/24 (F0/1 - F0/7) VLAN 2: 192.168.2.0/24 (F0/8 - F0/15) VLAN 3: 192.168.3.0/24 (F0/16 - F0/23)

Sw2 tạo VLAN 4: 192.168.4.0/24 (F0/1 - F0/23)

- R1 chạy định tuyến và cấp IP cho VLAN 1,2,3- R2 chạy định tuyến và cấp IP cho VLAN 4- Viết Access control list

Cấm PC của VLAN 1 và VLAN 4 liên lạc với nhau Viết thêm vào ACL cấm VLAN 3 liên lạc với VLAN 4 VLAN 2 không truy cập được đến Webserver Cấm VLAN telnet đến R2 Cấm VLAN 4 ra internet II. triển khai

1. Switch Sw1

Sw1(config)#vlan 2Sw1(config-vlan)#name CCNASw1(config-vlan)#vlan 3Sw1(config-vlan)#name CCNPSw1(config-vlan)#exit

Sw1(config)#interface range f0/1-8Sw1(config-if-range)#switchport mode accessSw1(config-if-range)#switchport access vlan 1Sw1(config-if-range)#interface range f0/9-16Sw1(config-if-range)#switchport mode accessSw1(config-if-range)#switchport access vlan 2Sw1(config-if-range)#interface range f0/17-23Sw1(config-if-range)#switchport mode accessSw1(config-if-range)#switchport access vlan 3Sw1(config-if-range)#interface f0/24Sw1(config-if)#switchport mode trunkSw1(config-if)#exitSw1(config)#spanning-tree portfast defaultR1(config-subif)#exit

2. Router R1

R1(config)#interface f0/0R1(config-if)#ip address 192.168.12.1 255.255.255.0R1(config-if)#no shutdownR1(config-if)#interface f0/1R1(config-if)#no shutdownR1(config-if)#interface f0/1.1R1(config-subif)#encapsulation dot1Q 1R1(config-subif)#ip address 192.168.1.254 255.255.255.0R1(config-subif)#encapsulation dot1Q 2R1(config-subif)#ip address 192.168.2.254 255.255.255.0R1(config-subif)#interface f0/1.3R1(config-subif)#encapsulation dot1Q 3R1(config-subif)#ip address 192.168.3.254 255.255.255.0

R1(config)#ip dhcp pool VLAN1R1(dhcp-config)#network 192.168.1.0 255.255.255.0R1(dhcp-config)#default-route 192.168.1.254R1(dhcp-config)#dns-server 8.8.8.8R1(dhcp-config)#exitR1(config)#ip dhcp pool VLAN2R1(dhcp-config)#network 192.168.2.0 255.255.255.0R1(dhcp-config)#default-route 192.168.2.254R1(dhcp-config)#dns-server 8.8.8.8R1(dhcp-config)#exitR1(config)#ip dhcp pool VLAN3R1(dhcp-config)#network 192.168.3.0 255.255.255.0R1(dhcp-config)#default-route 192.168.3.245R1(dhcp-config)#dns-server 8.8.8.8R1(dhcp-config)#exit

R1(config)#router ospf 1R1(config-router)#network 192.168.1.0 0.0.0.255 area 0R1(config-router)#network 192.168.2.0 0.0.0.255 area 0R1(config-router)#network 192.168.3.0 0.0.0.255 area 0R1(config-router)#network 192.168.12.0 0.0.0.255 area 0

3. Switch Sw2

Sw2(config)#vlan 4Sw2(config-vlan)#name CCIESw2(config-vlan)#exitSw2(config)#interface range f0/1-23Sw2(config-if-range)#switchport mode accessSw2(config-if-range)#switchport access vlan 4Sw2(config-if-range)#exitSw2(config)#interface f0/24Sw2(config-if)#switchport mode trunkSw2(config-if)#exitSw2(config)#spanning-tree portfast default

4. Router R2

R2(config)#interface f0/0R2(config-if)#ip address 192.168.12.2 255.255.255.0R2(config-if)#no shutdownR2(config-if)#interface s0/0/0R2(config-if)#ip address 192.168.13.2 255.255.255.252R2(config-if)#no shutdownR2(config-if)#interface f0/1R2(config-if)#no shutdownR2(config-if)#interface f0/1.1R2(config-subif)#encapsulation dot1Q 4R2(config-subif)#ip address 192.168.4.254 255.255.255.0R2(config-subif)#exitR2(config)#ip dhcp pool VLAN4R2(dhcp-config)#network 192.168.4.0 255.255.255.0R2(dhcp-config)#default-route 192.168.4.254R2(dhcp-config)#dns-server 8.8.8.8R2(dhcp-config)#exit

R2(config)#router ospf 2R2(config-router)#network 192.168.4.0 0.0.0.255 area 0R2(config-router)#network 192.168.12.0 0.0.0.255 area 0R2(config-router)#network 192.168.13.0 0.0.0.3 area 0

5. Router R3

R3(config)#interface s0/0/0R3(config-if)#ip address 192.168.13.1 255.255.255.252

Bad mask /30 for address 192.168.13.3R3(config-if)#no shutdownR3(config)#interface f0/1R3(config-if)#ip address dhcpR3(config-if)#no shutdownR3(config-if)#interface f0/1R3(config-if)#no shutdownR3(config-if)#ip address 192.168.20.254 255.255.255.0

R3(config)#router ospf 3R3(config-router)#network 192.168.13.0 0.0.0.3 area 0R3(config-router)#network 192.168.14.0 0.0.0.255 area 0R3(config-router)#network 192.168.20.0 0.0.0.255 area 0R3(config-router)#default-information originate 

R3(config)#access-list 1 permit anyR3(config)#ip nat inside source list 1 interface f0/0 overload R3(config)#interface f0/0R3(config-if)#ip nat outsideR3(config-if)#interface f0/1R3(config-if)#ip nat insideR3(config-if)#interface s0/0/0R3(config-if)#ip nat insideR3(config-if)#exit

6. Router ISP

ISP(config)#interface f0/0ISP(config-if)#ip address 8.8.8.254 255.255.255.0ISP(config-if)#no shutdownISP(config-if)#interface f0/1ISP(config-if)#ip address 123.123.123.123 255.255.0.0ISP(config-if)#no shutdownISP(config)#ip dhcp pool ISPISP(dhcp-config)#network 123.123.0.0 255.255.0.0ISP(dhcp-config)#default-router 123.123.123.123ISP(dhcp-config)#dns-server 8.8.8.8

==> Tới đây đã hoàn thành các bước xây dựng xong một mạng LAN cho phép đi internet. Tiếp theo chúng ta cần viết các chính sách để quản lý hệ thống mạng LAN

III. Xây dựng chính sách trong mạng1. Cấm VLAN 1 liên lạc VLAN 4- Cấm Source IP là VLAN 1 : 192.168.1.0/24- Cấm trên interface:

f0/1.1 của R1 thì các pc VLAN 1 sẽ ko ping được các mạng # S0/0/0 của R1 thì VLAN ko ping được các mạng #

s0/0/0 của R2 tương tự f0/1 của R2 ko ảnh hưởng vì VLAN 4 sử dụng sub-interface f0/1.1 của R2 f0/1.1 của R2 là hợp lý.

==> Nên áp ACL trên cổng gần đích đến nhất

- Hướng dữ liệu sẽ có Source IP là VLAN 1(192.168.1.0/24) đi vào cổng s0/0/0 của R2 và đi ra cổng f0/1.1 của R2==> Nên ACL sẽ được áp trên interface f0/1.1 theo chiều out- Cú pháp:

Router(config)#access-list 1 deny 192.168.1.0 0.0.0.255Router(config)#interface f0/1.1Router(config-if)#ip access-group 1 out

- Kiểm tra ta thấy

VLAN 1 không ping được VLAN 4 -> thỏa yêu cầu nhưng VLAN 2 cũng không ping được VLAN 4. Nguyên nhân là do trong ACL

của router luôn tồn tại dòng deny all

=> Ta cần thêm dòng "permit any" vào ACL để các VLAN khác vẫn có thể ping được VLAN 4 bình thường

Router(config)#access-list 1 permit any

2. Cấm thêm VLAN 3 ping VLAN 4- Thêm dòng

Router(config)#access-list 1 deny 192.168.2.0 0.0.0.255

- Kiểm tra thì thấy VLAN 3 vẫn ping được tới VLAN 4- Kiểm tra ACL- Ta thấy lúc ta thêm 1 câu lệnh deny VLAN 3 vào ACL thì ACL sẽ đẩy các lệnh trước của mình đã nhập vào ACL. Lúc này ACL sẽ thực thi từ trên xuống dưới.

B1: ACL chạy vào dòng đầu tiên là deny VLAN 3. B2: ACL chạy tới dòng permit any lúc này ACL cho phép mọi VLAN ping đến

VLAN 4

=> Lúc này nó sẽ ảnh hưởng dòng dưới cùng của ACL tức là "permit any". Nên VLAN 3 vẫn ping được VLAN 4 bình thường- Ta thực hiện xóa dòng permit any và thêm vào lại để nó được lên đầu tiên

R2(config)#no access-list 1 permit any

Lúc này kiểm tra lại ACL thì thấy ACL rỗng.=> Khi xóa 1 dòng bất kì của ACL standard thì ACL sẽ bị xóa sạch và làm lại từ đầu

3. VLAN 2 không truy cập web được đến web server- Lúc này ta không thê dùng ACL dạng Standard mà phải dùng dạng Extend để chặn chi tiết hơn

R1(config)#access-list 100 deny tcp 192.168.2.0 0.0.0.255 host 192.168.20.2 eq 80R1(config)#access-list 100 permit ip any any

R1(config)#interface f0/0R1(config-if)#ip access-group 100 out

- Áp ACL vào cổng

F0/1 của R3: ta thấy traffic từ VLAN 2 đi qua R2 qua đường serial rồi đến s0/0/0 của R3 rồi mới tới f0/1 của R3. Lúc này ACL trên f0/1 mới xử lý chặn

==> Ta thấy mất 1 khoảng traffic chạy trên mạng mà Bandwidth trên serial rất thấp nên không tối ưu

tương tự khi đưa ACL vào f0/0 của R2 s0/0/0 của R2 và R3 f0/1.2 của R1: lúc này khi ta muốn viết thêm 1 ACL cấm VLAN 1 thì ta lại

vào interface f0/1.1 của R1 viết thêm 1 ACL => có nhiều ACL trên 1 Router => giảm hiệu năng của ACL

f0/0 của R1 : lúc này ta viết 1 ACL mà có thể cấm VLAN nào mà ta tùy chọn

==> Kiểu Extend có thể cấm bất kỳ cổng nào nhưng nên áp trên cổng nào hiệu quả nhất nên tốt nhất là gần nguồn nhất

4. Cấm VLAN telnet đến R2- Telnet giữa:

Router,Sw <-> Router,Sw ; Router,Sw <-> PC : viết Acl áp vào cổng luận lý (vty)

Pc <-> PC : viết ACL áp vào cổng vật lý

- Nên viết ACL trên vty thì nên viết theo kiểu standard vì khi ta viết ACL trên vty bằng kiểu extended thì ta cần có sour.IP và des.IP mà trên Router có nhiều cổng nên có nhiều IP -> liệt kê hết cả cổng trên Router==> Ta dùng kiểu standard vì chỉ có sourIP- Đối với vty cảu Router

R(config-line)#[ip] access-class {in | out}

nếu dùng dạng name-ACL thì có thêm ip

5. Cấm VLAN ra internet- Khi viết ACL ra internet thì phải viết trên Router biên vì khi ra internet ta không biết des.IP => ta dùng any.- Không được viết trên cổng ra internet vì trước khi ra internet trên Router sẽ thực hiện NAT lúc này ta xác định sai source.IP=> Nên ta phải áp ACL trên cổng đi vào- Deny VLAN ra internet

R3(config)#ip access-list extended internetR3(config-ext-nacl)#deny tcp 192.168.4.0 0.0.0.255 any eq 80

- Lúc này trên bảng định tuyến sẽ bị mất sạch và neighber sẽ không còn trên R3. Hệ thống mạng sẽ bị mất mạng nếu ta không permit any

R3(config)#ip access-list extended internetR3(config-ext-nacl)#deny tcp 192.168.4.0 0.0.0.255 any eq 80R3(config-ext-nacl)#permit ip any any

Có nhầm ko bạn R1 nối vs sw 3 chứ có phải sw 1 đâu nhỉ cả R2 cũng thế ..mà R3 192.168.14.0 192.168.20.0 ở đâu nhỉ sao ko có trong hình vẽ

http://svuit.vn/lab-65/lab-20-access-control-list-part-1-a-166.html