1. Trang chủ
  2. » Công Nghệ Thông Tin

HƯỚNG DẪN VỀ CCNA LAB- P36 pdf

5 442 1
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 5
Dung lượng 203,62 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Xóa câu lệnh trong ACL named sử dụng sequence number Routerconfig#ip access-list extended serveraccess2 Chuyển cấu hình vào chế độ ACL serveraccess2 Routerconfig-ext-nacl#no 20 Xóa câu

Trang 1

any log 30 cho dòng lệnh này

Router(config-ext-nacl)#exit Trở về chế độ cấu hình Global

Configuration

Router(config)#interface fastethernet 0/0 Chuyển cấu hình vào chế độ interface

fa0/0

Router(config-if)#ip access-group

serveraccess2 out

Gán ACL tên là serveraccess2 vào interface fa0/0 theo chiều ra

Router(config-if)#exit Trở về chế độ cấu hình Global

Configuration

Router(config)#ip access-list extended

serveraccess2

Chuyển cấu hình vào ACL tên là serveraccess2

Router(config-ext-nacl)#25 permit tcp

any host

131.108.101.99 eq ftp

Sử dụng một giá trị sequence number là

25 cho dòng lệnh này

Router(config-ext-nacl)#exit Trở về chế độ cấu hình Global

Configuration

* Chú ý:

- Sử dụng Sequence Number cho phép bạn dễ dàng sửa các câu lệnh của ACL named Trong ví dụ trên sử dụng chỉ số 10, 20, 30 cho các dòng lệnh trong ACL

- Tham số sequence-number chỉ được phép cấu hình trên các phiên bản phần mềm Cisco

IOS 12.2 trở lên

13 Xóa câu lệnh trong ACL named sử dụng sequence number

Router(config)#ip access-list extended

serveraccess2 Chuyển cấu hình vào chế độ ACL serveraccess2 Router(config-ext-nacl)#no 20 Xóa câu lệnh có giá trị Sequence number

là 20

Router(config-ext-nacl)#exit Trở về chế độ cấu hình Global

Configuration

14 Những chú ý khi sử dụng Sequence Number

- Sequence Number sẽ khởi tạo từ giá trị 10 và sẽ tăng nên 10 cho mỗi dòng lệnh trong ACL named

- Nếu bạn quên không gán một giá trị Sequence Number trước câu lệnh, thì câu lệnh đó sẽ được gán tự động vào cuối ACL

- Sequence Number sẽ thay đổi trên một router khi router đó khởi động để phản ánh khả năng tăng bởi 10 policy Nếu ACL của bạn có các chỉ số 10, 20, 30, 40, 50 và 60 trong ACL

đó thì khi khởi động lại thì các chỉ số đó sẽ trở thành là 10, 20, 30, 40, 50, 60, 70

Trang 2

- Sequence Number sẽ không thể nhìn thấy khi bạn sử dụng câu lệnh Router# show

running-config hoặc Router# show startup-config Để có thể nhìn thấy các giá trị

Sequence Number, bạn có thể sử dụng câu lệnh sau:

Router#show access-lists

Router#show access-lists list name

Router#show ip access-list

Router#show ip access-list list name

15 Tích hợp comments cho toàn bộ ACL

Router(config)#access-list 10 remark

only

Jones has access

Với từ khóa remark cho phép bạn có thể

tích hợp thêm một ghi chú (giới hạn là

100 ký tự)

Router(config)#access-list 10 permit

172.16.100.119 Host có địa chỉ IP là 172.16.100.119 sẽ được cho phép truyền dữ liệu đến các

mạng khác

Router(config)#ip access-list extended

Router(config-ext-nacl)#remark do not

let

Smith have telnet

Với từ khóa remark cho phép bạn có thể

tích hợp thêm một ghi chú (giới hạn là

100 ký tự)

Router(config-ext-nacl)#deny tcp host

172.16.100.153 any eq telnet Host có địa chỉ IP là 172.16.100.153 sẽ bị từ chối khi thực hiện telnet đến các

mạng khác

* Chú ý:

- Bạn có thể sử dụng từ khóa remark với các ACL standard, ACL extended hoặc ACL

named

- Bạn có thể sử dụng từ khóa remark trước hoặc sau câu lệnh permit hoặc deny

16 Sử dụng ACL để hạn chế truy cập router thông qua telnet

Router(config)#access-list 2 permit

host

172.16.10.2

Cho phép host có địa chỉ IP là 172.16.10.2 có thể telnet vào router

Router(config)#access-list 2 permit

172.16.20.0

0.0.0.255

Cho phép các host nằm trong mạng 172.16.20.x có thể telnet vào router

Mặc định có câu lệnh deny all ở cuối mỗi

ACL tạo ra

Router(config)#line vty 0 4 Chuyển cấu hình vào chế độ line vty

Router(config-line)#access-class 2 in Gán ACL 2 vào trong chế độ line vty 0 4

theo chiều đi vào router Khi các gói tin telnet đến router này thì sẽ được kiểm

Trang 3

tra

* Chú ý: Khi cấu hình hạn chế truy cập vào router thông qua telnet, sử dụng câu lệnh

access-class thay vì sử dụng câu lệnh access-group

17 Ví dụ: cấu hình ACL

- Hình 25-1 là sơ đồ mạng được sử dụng để cấu hình ACL, những câu lệnh được sử dụng trong ví dụ này chỉ nằm trong phạm vi của chương này

Hình 25-1

17.1 Ví dụ 1: Viết một ACL để chặn không cho phép mạng 10.0 truy cập đến mạng 40.0 nhưng vẫn cho phép ngược lại

RedDeer(config)#access-list 10 deny

172.16.10.0

0.0.0.255

Tạo ACL standard để không cho phép mạng 172.16.10.0

RedDeer(config)#access-list 10 permit Dùng câu lệnh này để làm mất tác dụng

Trang 4

any câu lệnh ẩn deny all

RedDeer(config)#interface

fastethernet 0/0

Chuyển cấu hình vào chế độ interface fa0/0

RedDeer(config)#ip access-group 10

out

Gán ACL 10 vào interface fa0/0 theo chiều đi ra

17.2 Ví dụ 2: Viết một ACL không cho phép host 10.5 truy cập đến host 50.7 nhưng ngược lại vẫn cho phép

Edmonton(config)#access list 115

deny ip host

172.16.10.5 host 172.16.50.7

Tạo ACL extended để không cho phép host 172.16.10.5 truy cập đến host 172.16.50.7 bằng tất cả các giao thức

Edmonton(config)#access list 115

permit ip any any

Dùng câu lệnh này để làm mất tác dụng

câu lệnh ẩn deny all Edmonton(config)#interface

fastethernet 0/0

Chuyển cấu hình vào chế độ interface fa0/0

Edmonton(config)#ip access-group

115 in

Gán ACL 115 vào interface fa0/0 theo chiều đi vào

17.3 Ví dụ 3: Viết một ACL để cho phép host 10.5 có thể Telnet đến router Red Deer Các host khác không thể

RedDeer(config)#access-list 20 permit

host

172.16.10.5

Tạo ACL 20 để cho phép host 172.16.10.5 sử dụng tất cả các giao thức

để truyền

RedDeer(config)#line vty 0 4 Chuyển cấu hình vào chế độ line vty

RedDeer(config-line)#access-class 20

in

Gán ACL 20 vào line vty thel chiều in

17.4 Ví dụ 4: Viết một ACL named để cho phép host 20.163 có thể telnet đến host 70.2 Nhưng không có host nào trong mạng 20.0 có thể telnet đến host 70.2 Ngoài ra những host nằm trong các mạng khác có thể truy cập đến host 70.2 sử dụng những giao thức khác

Calgary(config)#ip access-list

extended

Serveraccess

Tạo một ACL extended tên là serveraccess

Calgary(config-ext-nacl)#10 permit tcp

host

172.16.20.163 host 172.16.70.2 eq

telnet

Cho phép host 172.16.20.163 có thể telnet đến host 172.16.70.2

Calgary(config-ext-nacl)#20 deny tcp

172.16.20.0

0.0.0.255 host 172.16.70.2 eq telnet

Không cho phép các host khác nằm trong mạng 172.16.20.0 có thể telnet đến host 172.16.70.2

Trang 5

Calgary(config-ext-nacl)#30 permit ip

any any

Dùng câu lệnh này để làm mất tác dụng

câu lệnh ẩn deny all Calgary(config-ext-nacl)#exit Trở về chế độ Global Configuration

Calgary(config)#interface fastethernet

0/0 Chuyển cấu hình vào chế độ interface fa0/0

Calgary(config)#ip access-group

serveraccess out

Gán ACL tên là serveraccess vào interface fa0/0 theo chiều đi ra

17.5 Ví dụ 5: Viết một ACL để những host từ 50.1 đến 50.63 không truy cập web đến host 80.16 Những host từ 50.64 đến 50.254 là cho phép

RedDeer(config)#access-list 101 deny

tcp

172.16.50.0 0.0.0.63 host

172.16.80.16 eq 80

Tạo một ACL để chặn các lưu lượng HTTP

từ một mạng 172.16.50.0 0.0.0.63 đến một host 172.16.80.16

RedDeer(config)#access-list 101

permit ip any any

Dùng câu lệnh này để làm mất tác dụng

câu lệnh ẩn deny all RedDeer(config)#interface

fastethernet 0/0

Chuyển cấu hình vào chế độ interface fa0/0

RedDeer(config)#ip access-group 101

in

Gán ACL 101 vào interface fa0/0 theo chiều đi vào

*******************THE END********************

Ngày đăng: 08/07/2014, 07:20

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w