báo cáo thực tập athena trần trọng thái
DESCRIPTION
TRANSCRIPT
1 Tin hiêu cac công cu filter route.
1.1 1. Khái niệm về Access – list.ACLs(Access Control Lists) là một danh sách các chính sách được
áp dụng vào các cổng (interface) của một router. Danh sách này chỉ ra
cho router biết gói tin (packet) nào được cho phép đi qua (permit), hay
gói tin nào bị hủy bỏ (deny). Sự chấp nhận hay hủy bỏ này có thể dựa
trên dựa vào địa chỉ nguồn (source address), địa chỉ đích (destination
address), chỉ số cổng (socket).
1.2 2. Tại sao phải sử dụng Access – list.
- Quản lý traffic qua cổng của router
- Hỗ trợ mức độ cơ bản về bảo mật cho các truy cập mạng, thể hiện ở
tính năng lọc gói tin qua router.
1.3 3. Phân loại Access – list.ACLs được phân thành 2 loại chính: Standard ACLs và Extented
ACLs
- Standard ACLs: là loại ACLs đơn giản, hoạt động lọc gói tin dựa
vào địa chỉ nguồn của gói tin
- Extended ACLs : hoạt động lọc gói tin ngoài dựa vào địa chỉ nguồn
còn có thể dựa vào địa chỉ đích, chỉ số cổng nguồn, chỉ số cổng đích của
gói tin. Vì vậy Extended ACLs có thể lọc gói tin linh hoạt hơn.
Standard ACLs filter IP Packets based on the source address
only.
access-list 10 permit 192.168.30.0 0.0.0.255
Extended ACLs filter IP packets based on several attribute,
including the fllowing:
source and destination ip address
source and destination tcp and udp ports
protocol type (IP, ICMP, UDP, TCP, or protocol number)
access-list 103 permit tcp 192.168.30.0 0.0.0.255 any eq 80
1.4 3. Nguyên tắc hoạt động của danh sách truy cập.
Danh sách truy cập diễn tả một danh sách các qui luật mà nó cho
phép thêm vào các điều khiển các gói tin đi vào một giao diện của router,
các gói tin lưu lại tạm thời ở router và các gói tin gởi ra một giao diện
của router.
- Danh sách truy cập không có tác dụng trên các gói tin xuất phát từ
router đang xét.
- Các chỉ thị trong danh sách truy cập hoạt động một cách tuần tự.
Chúng đánh giá các gói tin từ trên xuống. Nếu tiêu đề của một gói tin và
một lệnh trong danh sách truy cập khớp với nhau, gói tin sẽ bỏ qua các
lệnh còn lại. Nếu một điều kiện được thỏa mãn, gói tin sẽ được cấp phép
hay bị từ chối. Chỉ cho phép một danh sách trên một giao thức trên một
giao diện.
1.5 Câu hinh Standard Access List.
1.5.1 Mô hinh.
1.5.2 M cu
tiêu
: Ngăn không cho router THAIR2 trao đ i thông tin v i PC1.ô ơ
1.5.2.1 Trên Router ThaiR1.
- Đăt ip cho cac công interface trên router.
THAIR1(config)#interface s0/0
THAIR1(config-if)#ip address 172.16.0.1 255.255.0.0
THAIR1(config-if)#clock rate 64000
THAIR1(config-if)#no shutdown
THAIR1(config)#interface e1/0
THAIR1(config-if)#ip address 192.168.1.1 255.255.255.0
THAIR1(config-if)#no shutdown
- Dung giao thưc RIPv2 đê thưc hiên viêc đinh tuyên cho cac
router.
THAIR1(config)#router rip
THAIR1(config-router)#version 2
THAIR1(config-router)#network 192.168.1.0
THAIR1(config-router)#network 172.16.0.0
THAIR1(config-router)#no auto-summary
- Hiên thi những đường đi mà router học được tư giao thưc đinh
tuyên RIPv2.
THAIR1#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
C 172.16.0.0/16 is directly connected, Serial0/0
C 192.168.1.0/24 is directly connected, Ethernet1/0
- Qua trinh đinh tuyên thành công.
- Tao Standard access list ngăn không cho router ThaiR2 ping v ào
host.
THAIR1(config)#access-list 1 deny 172.16.0.2 0.0.0.0 tư
chôi sư truy câp cua đia chi 172.16.0.2
THAIR1(config)#interface s0/0
THAIR1(config-if)#ip access-group 1 in ngăn can đường
vào cua công s0/0 theo access group 1.
- Kêt qua đưng tai router THAIR2 ping không thành công đên PC1.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2
seconds:
U.U.U
Success rate is 0 percent (0/5)
- Thưc hiên đôi đia chi cua router.
THAIR1(config)#interface s0/0
THAIR1(config-if)#ip address 192.168.15.1 255.255.255.0
THAIR1(config-if)#clock rate 64000
THAIR1(config-if)#no shutdown
- Thưc hiên lai viêc đinh tuyên.
THAIR1(config)#router rip
THAIR1(config-router)#version 2
THAIR1(config-router)#no network 172.16.0.0
THAIR1(config-router)#network 192.168.15.0
THAIR1(config-router)#network 192.168.1.0
THAIR1(config-router)#no auto-summary
- Lênh ping vân không thành công, ly do là khi không tim thây đia
chi source (đia chi la) trong danh sach Access list, router se măc đinh
thưc hiên Deny any, vi vây ban phai thay đôi măc đinh n ày.
THAIR1(config)#access-list 1 permit any
- Luc này tai router THAIR2 đa co thê ping đên PC1.
THAIR2#ping 192.168.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2
seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
8/76/208 ms
1.5.2.2 Trên Router ThaiR2.
- Đăt ip cho công interface s0/0 trên router.
THAIR2(config)#interface s0/0
THAIR2(config-if)#ip address 172.16.0.2 255.255.0.0
THAIR2(config-if)#clock rate 64000
THAIR2(config-if)#no shutdown
- Câu hinh giao thưc đinh tuyên RIPv2.
THAIR2(config)#router rip
THAIR2(config-router)#version 2
THAIR2(config-router)#network 172.16.0.0
THAIR2(config-router)#no auto-summary
- Hiên thi những đường đi mà router học được tư giao thưc đinh
tuyên RIPv2.
THAIR2#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
C 172.16.0.0/16 is directly connected, Serial0/0
R 192.168.1.0/24 [120/1] via 172.16.0.1, 00:00:13, Serial0/0
- Thưc hiên đôi đia chi cua router.
THAIR2(config)#interface s0/0
THAIR2(config-if)#ip address 192.168.15.2 255.255.255.0
THAIR2(config-if)#clock rate 64000
THAIR2(config-if)#no shutdown
- Thưc hiên lai viêc đinh tuyên.
THAIR2(config)#router rip
THAIR2(config-router)#version 2
THAIR2(config-router)#no network 172.16.0.0
THAIR2(config-router)#network 192.168.15.0
THAIR2(config-router)#no auto-summary
1.5.3 K t lu n:ê â Ta đa tri n khai thanh công Standard Access List ê
nh trên mô hinh.ư
1.6 Câu hinh Extended Access List.
1.6.1 Mô hinh.
1.6.2 M c tiêu:u C u hinh Extended access list sao cho PC1 không â
th Telnet vao router ThaiR2 nh ng v n co th duy t web qua ê ư â ê ê
router ThaiR2.
1.6.2.1 Trên Router ThaiR1.
- Đăt ip cho cac công interface trên router.
ThaiR1(config)#interface s0/0
ThaiR1(config-if)#ip address 172.16.0.1 255.255.0.0
ThaiR1(config-if)#clock rate 64000
ThaiR1(config-if)#no shutdown
ThaiR1(config)#interface e1/0
ThaiR1(config-if)#ip address 10.0.0.1 255.0.0.0
ThaiR1(config-if)#no shutdown
- Dung giao thưc RIPv2 đê thưc hiên viêc đinh tuyên cho cac
router.
ThaiR1(config)#router rip
ThaiR1(config-router)#version 2
ThaiR1(config-router)#network 10.0.0.0
ThaiR1(config-router)#network 172.16.0.0
ThaiR1(config-router)#no auto-summary
- Tai PC1 ping thành công đên PC2.
- Sau đo Telnet và duyêt web tư PC1 vào router ThaiR2 vơi mât
khâu cisco.
1.6.2.2 Trên Router ThaiR2.
- Đăt Mât khẩu truy câp vào enable mode.
ThaiR2(config)#enable secret router
- Đăt mât khẩu telnet.
ThaiR2(config)#line vty 0 4
ThaiR2(config-line)#login
ThaiR2(config-line)#password cisco
- Đăt ip cho cac công interface trên router.
ThaiR2(config)#interface s0/0
ThaiR2(config-if)#ip address 172.16.0.2 255.255.0.0
ThaiR2(config-if)#clock rate 64000
ThaiR2(config-if)#no shutdown
ThaiR2(config)#interface e1/0
ThaiR2(config-if)#ip address 192.168.1.1 255.255.255.0
ThaiR2(config-if)#no shutdown
- Câu hinh giao thưc đinh tuyên RIPv2.
ThaiR2(config)#router rip
ThaiR2(config-router)#version 2
ThaiR2(config-router)#network 172.16.0.0
ThaiR2(config-router)#network 192.168.1.0
ThaiR2(config-router)#no auto-summary
- Tiên hành gia môt http server trên Router.
ThaiR2(config)#ip http server
- Thưc hiên câu hinh Access list.
ThaiR2(config)#$ 101 deny tcp 10.0.0.2 0.0.0.0 172.16.0.2
0.0.0.0 eq telnet
ThaiR2(config)#interface s0/0
ThaiR2(config-if)#ip access-group 101 in
- Ta nhân thây qua trinh Telnet không thành công nhưng duyêt
web cung không thành công.
- Đê duyêt web thành công cân thưc hiên thay đôi câu lênh Deny
any măc đinh cua Access list.
ThaiR2(config)#access-list 101 permit ip any any
1.6.3 K t lu n:ê â Nh v y ta đa thanh công vi c c u hinh cho ư â ê â
Extended Access List v i m c đich ngăn c m vi c Telnet vao ơ u â ê
router va cho phep qua trinh duy t web vao router.ê