Demo và bảng địa chỉ IP - Engineer - Marketing... Bảng địa chỉ IPGateway Server Engineer... Cấu hình ACL Trước khi cấu hình ACL thì các PC và Server có thể ping, ftp, HTTP thành công.. V
Trang 1ACL Demo
1. Demo và bảng địa chỉ IP
- Engineer
- Marketing
Trang 2Bảng địa chỉ IP
Gateway Server
Engineer
Trang 3MailPC2 2001:db8:1::11 /64 2001:db8:1::1
Marketing
2 Cấu hình ACL
Trước khi cấu hình ACL thì các PC và Server có thể ping, ftp, HTTP thành công Ví dụ hình dưới đây PC6 trong Marketing có thể ping đến Server Mail
- Emgineer (ACL IPv6)
4 PC đều chỉ có thể truy cập đến hai máy chủ WebEngineer và MailEngineer bằng www, còn lại deny hết.
Trang 4ACL IPv6 (WORKER) làm trên cổng g0/0 của Router Worker và chiếu in
Worker(config)#ipv6 access-list WORKER
Worker(config-ipv6-acl)#permit tcp 2001:db8:1::/64 2001:db8:4::/64 eq www
Worker(config-ipv6-acl)#deny ipv6 any any
Worker(config-ipv6-acl)#exit
Worker(config)#int g0/0
Worker(config-if)#ipv6 traffic-filter WORKER in
Kết quả: 4 PC không thể ping, ftp, v.v … đến 2 server được chỉ có thể truy bằng web, ví dụ ping
và truy cập bằng web từ MailPC1 đến máy chủ MailEngineer
Hai máy chủ MailEngineer và WebEngineer có thể truy cập đến máy chủ DualStack, còn lại deny hết
ACL IPv6(SERVER) làm trên cổng g0/0 của Router Engineer và chiếu out
Trang 5Engineer(config)#ipv6 access-list SERVER
Engineer (config-ipv6-acl)#permit ipv6 2001:db8:4::/64 2001:db8:5::/64
Engineer (config-ipv6-acl)#exit
Engineer (config)#int g0/0
Engineer (config-if)#ipv6 traffic-filter SERVER out
Engineer (config-if)#exit
Kết quả: Thành công truy cập bằng web từ máy chủ MailEngineer đến máy chủ DualStack
Không thành công ping từ MailPC1 đến máy chủ DualStack
Trang 6May chủ DualStack chỉ có thể nhận thông tin từ 2 máy chủ MailEngineer,WebEngineer và có thể truy cập
ra 3 máy chủ Mail, Web, FTP bằng www
Named-Extended ACL (DualStack) trên cổng s0/3/0 của Router Engineer và chiếu out
Engineer(config)#ip access-list extended DualStack
Engineer (config-ext-nacl)#permit tcp 10.1.1.0 0.0.0.255 host 10.3.0.10 eq www
Engineer (config-ext-nacl)#permit tcp 10.1.1.0 0.0.0.255 host 10.3.0.20 eq www
Engineer (config-ext-nacl)#permit tcp 10.1.1.0 0.0.0.255 host 10.3.0.30 eq ftp
Engineer (config-ext-nacl)#exit
Engineer (config)#int s0/3/0
Engineer (config-if)#ip access-group DualStack out
Kết quả:
Truy cập bằng web từ DualStack đến máy chủ Mail
Truy cập bằng web từ DualStack đến máy chủ Web
Truy cập bằng ftp từ DualStack đến máy chủ FTP
Trang 7- Marketing (ACL IPv4)
PC6 có thể telnet đến Router Marketing, còn lại deny hết (Standard ACL)
Standard ACL trên line vty 0 15 của router Marketing và chiếu in
Marketing (config)#access-list 99 permit host 10.2.2.10
Marketing (config)#line vty 0 15
Marketing (config-if)#access-class 99 in
Kết quả: PC6 có thể telnet đến router Marketing
PC7 và PC8 chỉ truy cập hai máy chủ MailMarketing và WebMarketing bằng www, còn lại deny hết (Numbered Extended ACL(101))
Numbered-Extended ACL (101) trên cổng g0/2 của router Marketing và chiếu in
Marketing(config)#access-list 101 permit tcp 10.2.3.0 0.0.0.255 10.2.1.0 0.0.0.255 eq www Marketing(config)#access-list 101 deny icmp any any
Marketing(config)#int g0/2
Marketing(config-if)#ip access-group 101 in
Marketing(config-if)#
Trang 8Kết quả:
Thành công truy cập bằng web từ PC7 đến máy chủ MailMarketing
Thành công truy cập bằng web từ PC8 đến máy chủ WebMarketing
2 máy chủ MailMarketing và WebMarketing có thể truy cập hai may chủ Mail và Web bằng www (Named Extended ACL)
Named-Extended ACL (Marketing) trên cổng s0/3/0 của router Marketing và chiếu out
Marketing(config)#ip access-list extended Marketing
Marketing(config-ext-nacl)#permit tcp 10.2.1.0 0.0.0.255 host 10.3.0.10 eq www
Marketing(config-ext-nacl)#permit tcp 10.2.1.0 0.0.0.255 host 10.3.0.20 eq www
Marketing(config-ext-nacl)#permit tcp 10.2.1.0 0.0.0.255 host 10.3.0.30 eq ftp
Trang 9Marketing(config-ext-nacl)#deny tcp any any
Marketing(config-ext-nacl)#exit
Marketing(config)#int s0/3/0
Marketing(config-if)#ip access-group Marketing out
Kết quả: Ví dụ trên máy chủ MailMarketing
Truy cập bằng web từ máy chủ MailMarketing đến máy chủ Mail
Truy cập bằng web từ máy chủ MailMarketing đến máy chủ Web
Truy cập bằng ftp từ máy chủ MailMarketing đến máy chủ FTP
