báo cáo thực tập athena trần trọng thái

1 Tin hiêu cac công cu filter route.

1.1 1. Khái niệm về Access – list.ACLs(Access Control Lists) là một danh sách các chính sách được

áp dụng vào các cổng (interface) của một router. Danh sách này chỉ ra

cho router biết gói tin (packet) nào được cho phép đi qua (permit), hay

gói tin nào bị hủy bỏ (deny). Sự chấp nhận hay hủy bỏ này có thể dựa

trên dựa vào địa chỉ nguồn (source address), địa chỉ đích (destination

address), chỉ số cổng (socket).

1.2 2. Tại sao phải sử dụng Access – list.

- Quản lý traffic qua cổng của router

- Hỗ trợ mức độ cơ bản về bảo mật cho các truy cập mạng, thể hiện ở

tính năng lọc gói tin qua router.

1.3 3. Phân loại Access – list.ACLs được phân thành 2 loại chính: Standard ACLs và Extented

ACLs

- Standard ACLs: là loại ACLs đơn giản, hoạt động lọc gói tin dựa

vào địa chỉ nguồn của gói tin

- Extended ACLs : hoạt động lọc gói tin ngoài dựa vào địa chỉ nguồn

còn có thể dựa vào địa chỉ đích, chỉ số cổng nguồn, chỉ số cổng đích của

gói tin. Vì vậy Extended ACLs có thể lọc gói tin linh hoạt hơn.

Standard ACLs filter IP Packets based on the source address

only.

access-list 10 permit 192.168.30.0 0.0.0.255

Extended ACLs filter IP packets based on several attribute,

including the fllowing:

source and destination ip address

source and destination tcp and udp ports

protocol type (IP, ICMP, UDP, TCP, or protocol number)

access-list 103 permit tcp 192.168.30.0 0.0.0.255 any eq 80

1.4 3. Nguyên tắc hoạt động của danh sách truy cập.

Danh sách truy cập diễn tả một danh sách các qui luật mà nó cho

phép thêm vào các điều khiển các gói tin đi vào một giao diện của router,

các gói tin lưu lại tạm thời ở router và các gói tin gởi ra một giao diện

của router.

- Danh sách truy cập không có tác dụng trên các gói tin xuất phát từ

router đang xét.

- Các chỉ thị trong danh sách truy cập hoạt động một cách tuần tự.

Chúng đánh giá các gói tin từ trên xuống. Nếu tiêu đề của một gói tin và

một lệnh trong danh sách truy cập khớp với nhau, gói tin sẽ bỏ qua các

lệnh còn lại. Nếu một điều kiện được thỏa mãn, gói tin sẽ được cấp phép

hay bị từ chối. Chỉ cho phép một danh sách trên một giao thức trên một

giao diện.

1.5 Câu hinh Standard Access List.

1.5.1 Mô hinh.

1.5.2 M cu

tiêu

: Ngăn không cho router THAIR2 trao đ i thông tin v i PC1.ô ơ

1.5.2.1 Trên Router ThaiR1.

- Đăt ip cho cac công interface trên router.

THAIR1(config)#interface s0/0

THAIR1(config-if)#ip address 172.16.0.1 255.255.0.0

THAIR1(config-if)#clock rate 64000

THAIR1(config-if)#no shutdown

THAIR1(config)#interface e1/0



- Dung giao thưc RIPv2 đê thưc hiên viêc đinh tuyên cho cac

router.

THAIR1(config)#router rip

THAIR1(config-router)#version 2

THAIR1(config-router)#network 192.168.1.0


THAIR1(config-router)#no auto-summary

- Hiên thi những đường đi mà router học được tư giao thưc đinh

tuyên RIPv2.

THAIR1#show ip route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

C 172.16.0.0/16 is directly connected, Serial0/0

C 192.168.1.0/24 is directly connected, Ethernet1/0

- Qua trinh đinh tuyên thành công.

- Tao Standard access list ngăn không cho router ThaiR2 ping v ào

host.

THAIR1(config)#access-list 1 deny 172.16.0.2 0.0.0.0 tư

chôi sư truy câp cua đia chi 172.16.0.2


THAIR1(config-if)#ip access-group 1 in ngăn can đường

vào cua công s0/0 theo access group 1.

- Kêt qua đưng tai router THAIR2 ping không thành công đên PC1.

Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2

seconds:

U.U.U

Success rate is 0 percent (0/5)

- Thưc hiên đôi đia chi cua router.





- Thưc hiên lai viêc đinh tuyên.



THAIR1(config-router)#no network 172.16.0.0




- Lênh ping vân không thành công, ly do là khi không tim thây đia

chi source (đia chi la) trong danh sach Access list, router se măc đinh

thưc hiên Deny any, vi vây ban phai thay đôi măc đinh n ày.

THAIR1(config)#access-list 1 permit any

- Luc này tai router THAIR2 đa co thê ping đên PC1.

THAIR2#ping 192.168.1.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2

seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max =

8/76/208 ms


- Đăt ip cho công interface s0/0 trên router.





- Câu hinh giao thưc đinh tuyên RIPv2.





- Hiên thi những đường đi mà router học được tư giao thưc đinh

tuyên RIPv2.

THAIR2#show ip route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

C 172.16.0.0/16 is directly connected, Serial0/0

R 192.168.1.0/24 [120/1] via 172.16.0.1, 00:00:13, Serial0/0

- Thưc hiên đôi đia chi cua router.





- Thưc hiên lai viêc đinh tuyên.



THAIR2(config-router)#no network 172.16.0.0



1.5.3 K t lu n:ê â Ta đa tri n khai thanh công Standard Access List ê

nh trên mô hinh.ư

1.6 Câu hinh Extended Access List.

1.6.1 Mô hinh.

1.6.2 M c tiêu:u C u hinh Extended access list sao cho PC1 không â

th Telnet vao router ThaiR2 nh ng v n co th duy t web qua ê ư â ê ê

router ThaiR2.



ThaiR1(config)#interface s0/0

ThaiR1(config-if)#ip address 172.16.0.1 255.255.0.0

ThaiR1(config-if)#clock rate 64000

ThaiR1(config-if)#no shutdown

ThaiR1(config)#interface e1/0



- Dung giao thưc RIPv2 đê thưc hiên viêc đinh tuyên cho cac

router.

ThaiR1(config)#router rip

ThaiR1(config-router)#version 2

ThaiR1(config-router)#network 10.0.0.0


ThaiR1(config-router)#no auto-summary

- Tai PC1 ping thành công đên PC2.

- Sau đo Telnet và duyêt web tư PC1 vào router ThaiR2 vơi mât

khâu cisco.


- Đăt Mât khẩu truy câp vào enable mode.

ThaiR2(config)#enable secret router

- Đăt mât khẩu telnet.

ThaiR2(config)#line vty 0 4

ThaiR2(config-line)#login

ThaiR2(config-line)#password cisco




ThaiR2(config-if)#clock rate 64000


ThaiR2(config)#interface e1/0



- Câu hinh giao thưc đinh tuyên RIPv2.

ThaiR2(config)#router rip

ThaiR2(config-router)#version 2



ThaiR2(config-router)#no auto-summary

- Tiên hành gia môt http server trên Router.

ThaiR2(config)#ip http server

- Thưc hiên câu hinh Access list.

ThaiR2(config)#$ 101 deny tcp 10.0.0.2 0.0.0.0 172.16.0.2

0.0.0.0 eq telnet


ThaiR2(config-if)#ip access-group 101 in

- Ta nhân thây qua trinh Telnet không thành công nhưng duyêt

web cung không thành công.

- Đê duyêt web thành công cân thưc hiên thay đôi câu lênh Deny

any măc đinh cua Access list.

ThaiR2(config)#access-list 101 permit ip any any

1.6.3 K t lu n:ê â Nh v y ta đa thanh công vi c c u hinh cho ư â ê â

Extended Access List v i m c đich ngăn c m vi c Telnet vao ơ u â ê

router va cho phep qua trinh duy t web vao router.ê

báo cáo thực tập athena trần trọng thái

Documents