3:08:00 PM
Lee John
Access-list là một danh sách các đối tường dùng để ra lệnh cho thiết bị để thực thi các hành động(cấm/cho phép/giới hạn/ log..) khi thiết bị nhận được một gói tin và phân tich gói tin.
Nếu một địa chỉ IP nào đó bị cấm trong access-list thì khi gói tin đó chuyển tới thiết bị được cấu hình access-list thì gói tin đõ sẽ bị drop ngay. Trông hệ thống Firewall, access-list là một thành phần quan trọng và chủ yếu trong Firewall. Nhờ có Access-list mà các thiết bị Firewall có thể hạn chế được sự tấn công từ những địa chỉ Ip cụ thể...
Access-list hoạt động theo thứ tự trên xuống dưới, khi gặp một entry nào trong access-list trùng khớp thì áp dụng luôn entry đó mà không xem xét bất khì entry nào bên dưới. Mặc định khi cấu hình Access-list entry dưới cùng bao giờ cũng deny all do đó trong khi cấu hình access-list chúng ta nên ghi nhớ vấn đề này.
Sau đây mình sẽ cấu hình một access-list đơn giản để cấm máy tính có ip 10.1.1.2 không thể ping hay truy cập được tới địa chỉ ip 172.16.1.2
Mô hình lab:(mô hình này đã được cấu hình định tuyến(routing) trong bài cấu hình router cơ bản)
Đầu tiên các bạn vào PC 2 thử ping tới PC 1 với ip 172.16.1.2 ==> ok
Trước khi đi vào cấu hình mình giải thích một số khái niệm:
Wildcard: là một chuỗi 32bit chứa các bit 0 và bit 1. bit 1 thế hiện rằng không cần kiểm tra lờ đi, bit 0 phải kiểm tra vd: 192.168.1.0 sử dụng wildcard 0.0.0.255 hay 0.0.0.11111111 có nghĩa là những địa chỉ ip nào có phần đầu là 192.168.1 thì phải kiểm tra và phần sau .255 hay .11111111 không phải kiểm tra.
giá sử chúng ta có access-list: deny ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
với tất cả những gói tin tới Router có địa chỉ nguồn là 10.1.1.0/24 thì phải kiểm tra không quan tâm là địa chỉ cụ thể nào 10.1.1.1,10.1.1.2 .... và tới địa chỉ ip có phần đầu là 172.16.1. thì sẽ bị cấm.
Vào RouterHCM cấu hình như sau:
RouterHCM(config)#ip access-list extended 102 //khai báo tên access-list 102 hoặc dùng chữ cái
RouterHCM(config-ext-nacl)#deny ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 // chỉ định những IP nào bị cấmRouterHCM(config-ext-nacl)#permit ip any any // cuối mỗi access-list theo mặc định là deny all do đó chung ta phải có câu lệnh này.
RouterHCM(config-ext-nacl)#exit
-----------------------------------------
Áp access-list vào cổng tương ứng
RouterHCM(config)#int f0/0RouterHCM(config-if)#ip access-group 102 in
RouterHCM(config-if)#exit
RouterHCM(config)#int s0/3/1
RouterHCM(config-if)#exit
Giờ bạn thử ping từ máy tính PC2 tới PC1 xem được không ?
Chúc các bạn lab thành công !
Video hướng dẫn cấu hình Access-list
Phần 1: http://www.youtube.com/watch?v=rgrS5An7Aw4&feature=g- upl&context=G274b51aAUAAAAAAAFAA
Phần 2:http://www.youtube.com/watch?v=DMbU2-ex6-g&feature=g-upl&context=G2be65efAUAAAAAAAEAA
Phần 3:http://www.youtube.com/watch?v=BBTPUQZcGU0&feature=g-upl&context=G200ae9fAUAAAAAAADAA
Posted in: Cisco,config,Network
