1. Trang chủ
  2. » Kỹ Thuật - Công Nghệ

lab 4-3 kiểm soát truy cập vào router

4 134 0

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 4
Dung lượng 32,5 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Access list cho phép xác định trạm nào được telnet vào router dựa trên địa chỉ IP... Access-list không thể áp cho các traffic chiều ra.. End with CNTL/Z... No connection co

Trang 1

Lab 4-3: Kiểm soát truy cập vào router

Mô ta

Access-list có thể dùng để kiểm soát các kết nối VTY tới router Access list cho phép xác định trạm nào được telnet vào router dựa trên địa chỉ IP

Lab này mô ta cách hạn chế truy cập vào router thông qua giao diện web và telnet sử dụng standard access–list, theo các yêu cầu sau:

–Chỉ cho PC1 telnet vào R2

–Chỉ cho R1 telnet vào R2 với địa chỉ nguồn là 200.200.200.1

–Chỉ cho PC2 truy cập vào R2 qua giao diện web

Cấu hình

R1

!

hostname R1

!

enable mật khẩu cisco

!

ip subnet-zero

!

ip telnet source-interface Loopback0 <- dùng để thay đổi địa chỉ nguồn của các gói telnet từ router này

no ip domain-lookup

!

interface Loopback0

ip address 200.200.200.1 255.255.255.0

!

interface FastEthernet0/0

ip address 192.168.0.254 255.255.255.0

duplex auto

speed auto

no shutdown

!

interface Serial0/0

ip address 203.162.0.1 255.255.255.0

no shut

!

ip classless

ip route 162.16.0.0 255.255.0.0 203.162.0.2

ip route 172.16.0.0 255.255.0.0 203.162.0.2

no ip http server

Trang 2

line con 0

transport input none

line aux 0

line vty 0 4

no login

!

end

R2

!

hostname R2

!

enable mật khẩu cisco

!

ip subnet-zero

no ip domain-lookup

!

interface Loopback0

ip address 162.16.0.1 255.255.0.0

no ip directed-broadcast

!

interface FastEthernet0/0

ip address 172.16.0.254 255.255.0.0

no ip directed-broadcast

!

interface Serial0/0

ip address 203.162.0.2 255.255.255.0

no ip directed-broadcast

clockrate 64000

!

ip classless

ip route 192.168.0.0 255.255.255.0 203.162.0.1

ip route 200.200.200.0 255.255.255.0 203.162.0.1

ip http server <-bật web server lên Cho phép cấu hình router qua giao diện web

ip http access-class 3 <- áp access list 3 để hạn chế truy cập vào giao diện web

!

access-list 2 permit 192.168.0.1

access-list 2 permit 200.200.200.1

access-list 3 permit 192.168.0.2 <- không khai báo wilcard mask, router sẽ cho là 0.0.0.0

!

line con 0

transport input none

line aux 0

line vty 0 4

access-class 2 in <- áp access list 2 để hạn chế telnet vào R2

Trang 3

no login <- cho phép telnet vào router không cần mật khẩu

!

end

Thực hiện

1 Tạo các access list:

R2(config)# access-list 2 permit 192.168.0.1 0.0.0.0

R2(config)# access-list 2 permit host 200.200.200.1

có thể thay thế wildcard 0.0.0.0 bằng từ khóa host

R2(config)# access-list 3 permit host 192.168.0.2

2 Áp access-list 2 vào các line vty để hạn chế truy cập vào R2 qua telnet:

R2(config)# line vty 0 4

R2(config-line)# access-class 2 in<-Sử dụng từ khóa in trong lệnh access-class Nếu dùng từ khóa out sẽ cấm kha năng telnet của R2 tới các host khác

3 Bật web server trên R2 và áp access list 3 vào http server để hạn chế truy cập vào giao diện web:

R2(config)# ip http server

R2(config)# ip http access-class 3 <- xác định access-list 3 sẽ áp dụng trên mọi HTTP request

Khi áp access-class vào IOS web server, không sử dụng từ khóa in Vì IOS web server chỉ có thể nhận các yêu cầu để tạo kết nối Access-list không thể áp cho các traffic chiều ra

Kiểm tra

Telnet vào R2 từ R1:

R1#telnet 203.162.0.2 <- lúc này chưa cấu hình lệnh ip telnet source-interface lo0 Trying 203.162.0.2

% Connection refused by remote host <- kết nối bị từ chối vì địa chỉ nguồn của gói telnet là 203.162.0.1 không thỏa access-list 2

Cần phai cấu hình R1 để các gói telnet có địa chỉ nguồn thỏa access-list 2 (200.200.200.1 – interface lo0)

R1#conf t

Enter configuration commands, one per line End with CNTL/Z

R1(config)#ip telnet source-interface lo0

R1(config)#^Z

R1#telnet 203.162.0.2

Trang 4

Trying 203.162.0.2 Open

R2> <- telnet đến R2 thành công

Telnet từ PC3 (172.16.0.3) vào R2

C:\Windows\Desktop>telnet 172.16.0.254

Connecting To 172.16.0.254 Could not open connection to the host, on port 23

No connection could be made because the target machine actively refused it <- kết nối bị từ chối vì địa chỉ của PC3 không thỏa mãn access-list 2

Telnet từ PC1 vào R2

C:\Windows\Desktop>telnet 203.162.0.2

Từ PC2 có thể truy cập vào R2 qua giao diện Web:

Từ Internet Explorer gõ http://203.162.0.2 vào thanh Address

Nhập User Name là R2 và mật khẩu là cisco

Khi đăng nhập thành công giao diện Web như sau

Ngày đăng: 16/11/2014, 19:45

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

🧩 Sản phẩm bạn có thể quan tâm

w